RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

IDM-Wochen_E-Mail KW 23

In der vergangenen Woche konnten keine grossen Fortschritte erzielt werden. Viele Kleinarbeiten kosteten dafür zu viel Zeit.

IDMone stellte sich am Freitag in der Sitzung der Komission für Rechenanlagen der Uni Erlangen vor. Leider musste dafür die Videokonferenz der IDM-interessierten Hochschulen in Bayern ohne Erlangen stattfinden.

In dieser Woche wird das Feinkonzept für die Anbindung der RRZE-ADS entwickelt. Mehr ist nicht zu erwarten, da die Hälfte des Teams Überstunden abbaut.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 22

Letzte Woche wurden die Fehler behoben, die zwischenzeitlich einige Instabilitäten zur Folge hatten. Nun laufen die Quellsystem-Treiber wieder stabil.

Neu ist die Übernahme der mit Unix-Crypt gehashten Passwörter der Studenten, die ihren Account aktiviert haben.

Des weiteren wurden letzte Schliffe am Web-Frontend durchgeführt, bevor auch Herr Zhelev seine Überstunden abbaut. Er wird mit Herrn Tröger Anfang Juli wieder mit anpacken.

Die Anbindung des Altsystems ist noch nicht fertig. Hier muss noch Arbeit investiert werden.

Die Arbeiten für die Erstellung des UnivIS-Treibers wurden extern vergeben. Mit Ergebnissen wird frühestens Anfang Juli gerechnet.

Diese Woche wird die Anbindung des Altsystems fortgesetzt. Am Freitag stellt sich IDMone der Kommission für Rechenanlagen vor. Dafür laufen die Vorbereitungen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 21

In der vergangenen Woche wurde das Web-Frontend in die erste Code-Freeze-Version gebracht. Nun wird Herr Tröger seine Überstunden abbauen und im Juli wieder mit anpacken. Diese Woche müssen noch auftretende Fehler gefixt werden. Das wird Herr Zhelev erledigen, der erst ab nächster Woche Überstunden abbauen wird.

Die Arbeiten am Schema sind vorerst abgeschlossen. Neue Arbeit wird erst erforderlich, wenn erste Entitlements eingetragen werden. Die Treiber für die Anbindung an Diapers und SOS wurden auf das neue Schema angepasst. Ebenso wurden die Treiber zum Generieren der IDs, Kennungen und Gruppen überarbeitet.

Die erste Instanz des Testsystems im geschützten ZUV-Netz ist inzwischen an das Backup-System angeschlossen. Weitere Tests werden folgen, um alle Ausfallszenarien durchzuspielen.

Diese Woche wird die IDM-Logik wieder zur alten Stabilität gebracht und die Anbindung des Altsystems begonnen. Die Stabilitätsprobleme basieren offenbar auf der Java-Speicherverwaltung, die nur im Dauerbetrieb noch ein paar Schwächen zeigt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 20

Leider konnte der etwas zu sportliche Zeitplan in der vergangenen Woche nicht eingehalten werden. Wichtige Weichenstellungen für die Zeit bis August forderten ihren Tribut. So ist das überarbeitete Schema noch immer nicht in die eDirectory-Instanzen des Meta-Directory übernommen. Das muss dringend fertig gestellt werden. Danach können die Treiber finalisiert und das Web-Frontend zum Testen bereit gestellt werden.

Leider werden auch in der kommenden (kurz-)Woche nötige Besprechungen die Arbeiten am Testsystem verzögern.

Herr Zhelev bereitete in der vergangenen Woche den Server idm-sp-test für den Betrieb mit JBoss und dem neuen Web-Frontend vor und führte Integrationstests durch.

Die Arbeiten am Web-Frontend hat Herr Tröger in einem eigenen Blog-Beitrag beschrieben: http://www.blogs.uni-erlangen.de/IDM/stories/1714/

Damit wir im Regelbetrieb ruhig schlafen können hat Herr Singer die Backup-Software installiert und begonnen, sie zu konfigurieren.

Diese Woche wird das Schema fertig überarbeitet und in die Treiber für SOS und Diapers eingearbeitet. Die Arbeiten am Web-Frontend werden abgeschlossen, bis die Entwickler aus ihrem Urlaub zurück sind.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 19

Diese Woche hat mal wieder gezeigt, dass es manchmal anders kommt, als man denkt.

Das Team von IDMone hat die Arbeiten am Web-Frontend kurz unterbrochen, um die Matching Rules, die im Zusammenhang mit der Bereinigung der Datenbestände erarbeitet wurden, in den Diapers-Treiber zu integrieren. Die dafür vorgesehenen Zeiten wurden zwar prinzipiell eingehalten, jedoch bremste ein Ausfall von eDirectory die Arbeiten, sodass wichtige Lasttests am Testsystem noch nicht durchgeführt werden konnten. Prinzipiell stehen jedoch die neuen Matching Rules im Diapers-Treiber zur Verfügung.

Der Ausfall der eDirectory-Datenbank ist bereits zum zweiten mal vorgekommen. Alle Versuche, die DB zu retten, sind fehlgeschlagen. Das Testsystem musste noch einmal neu aufgesetzt werden. Eine Usache konnte nicht gefunden werden, obwohl die letzten Aktionen auf die Datenbank nachgestellt wurden.

Seit heute hängt eine zweite eDirectory-Instanz als Replika auf der idm-sp-test im gleichen Tree, sodass der Ausfall einer DB schneller repariert werden kann.

Auf der idm-sp-test läuft auch bereits eine JBoss-Instanz, die über den Proxy-Server erreicht werden kann. Man kann dadurch kleinere Milestones in der Entwicklung des Web-Frontends einem breiteren Testerfeld zur Verfügung stellen.

Herr Zhelev arbeitete ausser an der Integration der Matching Rules auch an der PDF-Generierung von HTML mit CSS. Das Login-Brief-Template ist fertig.

Obwohl diese Woche viel Zeit für administrative und planerische Arbeiten benötigt wurde, konnte das Konzept für den Umgang mit Änderungen und Löschen im Meta-Directory überarbeitet werden. In der nächsten Woche wird es in die Treiber übernommen.

Das Schema wird derzeit noch überarbeitet. Hier gibt es leichte Verzögerungen. Dennoch soll es in der kommenden Woche in die Treiber übernommen werden.

Leider hängt die Implementierung der Shibboleth 2.0-Instanz noch an dem Zusammenspiel von Shibboleth mit JBoss. Hier konnten bisher leider auch die Spezialisten vom DFN nicht weiter helfen.

Nächste Woche wird das Schema fertig überarbeitet und die Matching-Rules nochmals getestet. Des weitern sollen die Treiber für SOS und Diapers vollumfänglich finalisiert werden. Das ist zwar sportlich, könnte aber klappen. Die Arbeiten am Web-Frontend werden auch wieder aufgenommen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 18

Die vergangene Woche war zwar kurz, aber dennoch nicht ohne Fortschritt.

Im Rahmen der AG IDMone wurden Interessierte über den Stand der Dinge informiert. Einige Punkte wurden danach in die Projektplanung aufgenommen.

Den Status der Entwicklung des Web-Frontends wird Herr Tröger in einem eigenen Blog-Beitrag berichten.

Herr Singer dokumentierte die Audit-Arbeiten von letzter Woche. Der Apache für den IDMone-Proxy, der vor dem Web-Frontend stehen soll, kann nun mit jboss zusammen arbeiten. Die Installation von Shibboleth 2.0 mit jboss ist derzeit in Arbeit.

Die Präsentation der Firma Eurekify liess einige Fragen offen. Die Anbindung an die Novell-Produkte scheint noch sehr in den Kinderschuhen zu stecken. Erfahrung liegt offenbar noch nicht vor. Insgesamt kann die Software zwar sehr viel, aber der Teil, den wir benötigen, rechtfertigt weder den Aufwand für die Anbindung, noch die Software-Kosten. Wir werden das also auch selbst implementieren.

Das Admin-Konzept wurde überarbeitet und das Konzept für die Verwdendung von Rollen erstellt.

Nächste Woche wird das Schema überarbeitet und die Matching-Rules in den Diapers-Treiber übernommen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 17

Die vergangene Woche wurde genutzt, um den Projektplan auf den aktuellen Stand zu bringen. Es zeichnet sich ab, dass die Neuentwicklung des Web-Frontends den Termin für die Inbetriebnahme von IDMone etwas verzögert. Die Manpower, die in die Programmierung gesteckt werden muss, fehlt leider an anderer Stelle.

Nichts desto trotz wird weiter zielstrebig am Gesamtsystem gearbeitet.

Herr Tröger hat bereits einen Blog-Beitrag zu den Arbeiten am Web-Frontend veröffentlicht (http://www.blogs.uni-erlangen.de/IDM/stories/1653/). Dem ist nichts hinzuzufügen.

Herr Singer und Herr Rygus kümmerten sich um die Vorbereitung einer Demo der Firma Eurikify. Diese Firma wird am Mittwoch via Telefon, Chat und Webkonferenz-Tools ihre Software (Rollenmanagement) vorstellen.

Des weiteren war letzte Woche Novell Consulting im Haus um die Möglichkeiten von Novell Audit vorzustellen. Herr Singer und Herr Rygus wurden umfassend informiert und konnten die Quellsystemtreiber mit entsprechenden Regeln versorgen. Es gibt also bereits eine laufende Konfiguration, die gemäß den Regeln, die sich aus dem Dienstleistungsportfolio ergeben, angepasst und ergänzt werden können.

Ein Angebot für einen UnivIS-Treiber erfordert noch die Klärung einiger Fragestellungen mit Config. Ein grober Rahmen liegt allerdings vor.

Die Datenbereinigung ist leider noch nicht abgeschlossen, da die letzten Klärfälle offensichtlich überproportional viel Zeit erfordern. Es werden daher nur schnell zu bearbeitende Klärfälle beachtet. Der Rest wird in die Nachklärung durch das Ablaufdatum übertragen.

Diese Woche wird weiter an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und das Rollenmodell für Admins ein letztes Mal überdacht. In der AG IDMone wird der Stand der Dinge dargestellt und offen Punkte geklärt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 16

Nachdem alle Teammitglieder wieder aus dem Urlaub zurück sind, wird derzeit die Projektplanung unter Berücksichtigung der Fehlzeiten überarbeitet.

Die Datenbereinigung ist durch den Einsatz einiger studentischer Hilfskräfte inzwischen soweit vorangeschritten, dass nur noch ca. 200 Klärfälle behandelt werden müssen. Herr Büttner wird sich darum kümmern.

Der Datenbestand, der nicht zu Personen aus den Quellsystemen SOS und Diapers zugeordnet werden konnte, wird als Neuanlage unter Sonstigen bzw. Gästen eingepflegt. Diese Einträge erhalten ein Ablaufdatum, um passive Einträge eliminieren zu können. Spätestens bei der Rückmeldung der aktiven Gäste kann noch einmal überprüft werden, ob man die Einträge einer bereits vorhandenen Person zuordnen kann.

Die Listen mit fehlerhaften oder nicht eindeutigen Einträgen in den Quellsystemen sind bei den Fachanwendern und werden bearbeitet, sodass die Datenbasis weiter verbessert wird.

Die Arbeiten am Web-Frontend gehen gut voran. Herr Tröger wird dazu einen Artikel für den Blog schreiben.

Herr Singer beschäftigte sich mit der Dokumentation im Wiki und erzeugte ein JBoss-rpm.

Herr Rygus kümmert sich um nötige Anpassungen der Treiber und die endgültige Definition der führenden Systeme pro Attribut. Er vertrat auch das RRZE bei der Vidokonferenz der IDM-interessierten Rechenzentren in Bayern.

Die Anbindung von UnivIS scheitert im Moment an der fehlenden Manpower. Hier denkt IDMone daran, die Entwicklung des nötigen Treibers an Novell Consulting zu vergeben.

Nächste Woche wird an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und die Treiber mit den Regeln zur Berücksichtigung der führenden Systeme pro Attribut versehen. Novell Consulting wird vor Ort Audit einführen und die UnivIS-API sichten, um ein Angebot für die Treiberentwicklung stellen zu können.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Brainshare 2008 – Part two

In der Zeit vom 17.03. – 21.03.2008 besuchten Herr Rygus und Herr Singer die Hausmesse ?Brainshare? der Firma Novell in Salt Lake City.
Die Messe bot einen Überblick über Neuerungen bestehender Produkte und die Präsentation von Neuentwicklungen.

Herr Singer besuchte folgende Veranstaltungen:

Mo 08:00 ? General Session: Brainshare Kick Off
Mo 12:00 ? Accelerating Your Novell Identity Manager Deployments
Mo 13:30 ? The Future of Linux
Mo 15:00 ? Virtualization and Its Impact on Interoperability between Windows and Linux
Mo 16:30 ? Securing Your Systems with AppArmor

Di 08:30 ? Fault-tolerant Computing with Linux High Availability
Di 10:00 ? Troubleshooting Novell Identity Manager 3.5.x
Di 11:30 ? High Availability and Cluster Solutions for Linux and Windows
Di 13:00 ? Novell Sentinel Collector Development: Beyond Basic Parsing
Di 14:30 ? Optimizing SUSE Linux Enterprise Server File Systems for Maximum Performance

Mi 08:00 ? General Session: Open Platform Solutions Demos
Mi 12:00 ? Event Handling in Workflow Forms with Novell Identity Manager 3.6
Mi 15:00 ? Novell eDirectory 8.8: Advanced Configuration
Mi 16:30 ? Penetration Testing and Protecting Networks Using Novell AppArmor

Do 08:30 ? Advanced Linux BASH Course
Do 11:30 ? Thin Linux – The Benefits of Linux Thin Clients and Terminal Services
Do 13:15 ? Security@Novell: An Overview of Security in SUSE Linux Enterprise Server
Do 14:30 ? Using Novell Sentinel to Understand your Identity Events

Fr 08:00 ? Benchmark Testing for SUSE Linux Enterprise Server and Clustering
Fr 09:30 ? Options for Integrating Novell Identity Manager With Linux and UNIX Systems
Fr 11:00 ? Novell Sentinel Solution Packs

Vor allem durch die Sessions zur Virtualisierung von Systemen, Optimierung von Filesystemen oder Tuningtipps rund um das eDirectory wurde viel Wissen vermittelt, welches im Arbeitsalltag seine praktische Anwendung finden wird.

Neben den Vorträgen fand auch reger Austausch mit Mitarbeitern der Firma Novell und deren Partner, sowie den anderen Besuchern der ?Brainshare? statt.
Unter anderem wurde dabei auf die Auswirkungen eines Restores, der Daten des Meta-Directory, auf die provisionierten Zielsysteme hingewiesen. Das System sieht die zurückgesicherten Daten als neue Personen an. Dadurch werden in den Zielsystemen neue Benutzer mit einer neuen ID erstellt, welche somit nicht mehr auf ihre bestehenden Daten (Home, …) zugreifen können.

Ein weiterer Punkt das Betriebssystem SuSE Linux Enterprise Server 11. Dazu konnten leider noch keine näheren Details gegeben werden außer, dass es neue Features im Bereich Virtualisierung, Hochverfügbarkeit oder Interoperabilität geben wird.

Allgemein zusammenfassend war der Besuch der ?Brainshare? sehr lohnenswert. Das neuerlangte Wissen und die geknüpften Kontakte sind für den weiteren Projektablauf äußerst wichtig. Die vorgetragenen Wünsche an die Entwickler wurden offen entgegengenommen und werden an die Verantwortlichen weitergegeben.
Die Chance mit den Entwicklern direkt kommunizieren zu können und somit wichtige Informationen zu erlangen sollte man auch in Zukunft wahrnehmen.

Brainshare 2008

Dieses Jahr besuchten zwei Mitarbeiter des RRZE, Herr Singer und Herr Dr. Rygus die Brainshare der Firma Novell in Salt Lake City (16.03.08-21.03.08). Der Fokus lag auf den Produkten IDM, SUSE und den damit verbundenen Themen.

Die Veranstaltung war wieder einmal perfekt organisiert. Als neuer IDM-Chef wurde Jim Ebzery vorgestellt. SAP ist als Hauptsponsor und Partner von Novell sehr stark aufgetreten. Die Brainshare hatte mehrere Hauptthemen, wobei Teaming + Conferencing und das Roles Based Module am nähesten an den Themenschwerpunkten von IDMone lagen.

Viel Neues an der IDM-Applikation selbst ist aus IDM-Sicht nicht vorgetragen worden. Man will eine Art Echtzeit-Verhalten erreichen, damit man sich nicht so viele Gedanken um die nicht möglichen Transaktionen machen muss. Des weiteren hat man erkannt, dass man in einem grösseren Projekt schnell mal die Übersicht verlieren kann. Deshalb soll ein grösseres Augenmerk auf das Policy-Management gelegt werden. Einen weiteren Schwerpunkt stellt ‘governance and compliance’ dar. Hier will man sich offenbar gegen alles absichern, was an juristischem Unbill auf einen zukommen kann.

Derzeit gibt es Verbesserungen am Designer, iManager und an der User Application. Das Roles Based Module wurde als das neue goldene Ei vorgestellt.

Künftig (ab Sommer diesen Jahres) soll es noch weitere, ganz nette Features geben:

– Designer:
– er soll einen Team Editor bekommen und Dokumentenverwaltung via svn unterstützen.
– Im Resource-Kit gibt es eine ‘state machine’, mit der man die Reihenfolge sequenziell auszuführender Schritte festlegen kann. IDMone wird das testen.

– iManager:
– Parallelansicht von Treiberübersicht und Details
– Überwachungs-Features (Cache, Status, driver health, …)

– Nested Groups werden künftig voll unterstützt

Als Software Enhancement wurde aufgenommen, dass man künftig (wann wurde nicht gesagt) feststellen und verarbeiten kann, woher ein Event kommt (cache oder direkt). Das kann im Moment zu Fehlern führen.

Zum Thema Rollenmanagement gab es eine sehr gute Präsentation der Firma Eurekify (http:www.eurekify.com). Sie kann offenbar ein gut ausgewogenes Rollen-Management mit Role-Mining, um immer wieder Herr der Lage zu werden. Leider ist die Anbindung noch sehr dürftig. Auf Anfrage wurde eine Anbindung via Treiber in Aussicht gestellt. Derzeit muss man über einen CSV-Treiber kommunizieren. Novell unterstützt diesen Partner und will laut eigener Aussage kein Konkurenzprodukt schaffen. Wenn man das Roles Based Module sinnvoll einsetzen möchte, wird man also um Eurekify nicht herum kommen.

Das Thema Datenanalyse soll der Analyzer oder Enforcer (gleiches Tool, zwei Namen) erleichtern. Leider kann der nicht einmal annähernd das, was von IDMone in sehr viel kürzerer Zeit entwickelt wurde. Bis dieses Tool einsetzbar wird, ist noch viel Arbeit nötig.

Mitarbeiter der Firma Novacost (Novell-Partner) stellten ein paar nette Tools vor, mit denen man Sicherheitslücken aufspüren kann. Mehr gibt’s auf deren Webseite (http://www.novacost.com).

Neue, ungeahnte Probleme zeigte eine Präsentation der Firma Blackbird auf. Offenbar gibt es bei einer IDM-Lösung durchaus andere Problematiken zu berücksichtigen, als beim normalen Backup. Nachdem ein Eintrag versehentlich gelöscht wurde, kann er nicht unbedingt bedenkenlos restauriert werden, da sich in einigen Zielsystemen die interne ID ändert und verbundene Objekte (Homes, Profile, …) ohne Zuordnung verbleiben. Das kann offenbar die Software DeTroubler von Blackbird beheben. Wiederum hat sich Novell dazu bekannt, kein Konkurenzprodukt zu entwickeln. IDMone wird sich das ansehen.

Im Techlab konnte Herr Rygus ausgiebig mit den Entwicklern diskutieren. Leider ergab die Diskussion mit den Entwicklern der User Application, dass diese Anwendung die Anforderungen von IDMone derzeit nicht erfüllt. Deshalb bleibt es in Erlangen beim Entschluss der Neuentwicklung eines Web-Frontends. Die sehr rege Diskussion in einer ‘best practices’ Session hat eindeutig gezeigt, dass es recht viele Kollegen auch in USA gibt, die ähnliche Probleme mit der User Application haben, wie IDMone. Langfristig (!) kann sich hier also durchaus noch etwas verbessern.

eDirectory soll künftig, wie bei OpenLDAP, auch Rechte für Mitglieder einer Gruppe auf Mitglieder einer Gruppe verarbeiten können. Diese Anforderung kam nicht nur aus Erlangen.

Der Sentinel als Ablösung von Audit konnte nur bedingt empfohlen werden, da er zu mächtig ist. Hier will man eine abgespeckte Lösung anbieten. Wann konnte nicht gesagt werden. IDMone wird vorerst mit Novell Audit beginnen.

Ein interessantes Tool scheint der Access Manager zu sein. Damit kann man u.a. SSO und Föderation für die gesamte Novell-Palette zzgl. Web-Anwendungen anbieten, und mit Shibboleth koppeln. So kann man einen Schritt weiter gehen, als nur mit Web-SSO.

Herr Singer wird einen ergänzenden Reisebericht im Blog veröffentlichen.