RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

IDM-Wochen_E-Mail KW 10

Die lange Stille im Blog heisst nicht, dass das Team von IDMone passiv war. Es wurde intensiv an allen Aufgaben gearbeitet, die als Voraussetzung für ein Roll-Out der ersten Version erledigt sein müssen.

Wie bereits berichtet, soll als erster Schritt die Anbindung der Quellsysteme SOS und Diapers abgelöst werden. Die dafür nötigen Treiber sind bis auf die Berücksichtigung der führenden Systeme pro Attribut fertig, wobei der Treiber für die SOS-Anbindung noch ohne Trigger läuft. Die Trigger sind zwar fertig, der Treiber erkennt sie aber noch nicht. Die erstaunlich gute Performanz beider Treiber erlaubt aber, zur Not auch ohne Trigger online zu gehen.

Um online zu gehen ist es nötig, die Datenqualität der Quellsysteme zu beurteilen und zu optimieren. Ebenso wichtig ist, dass die Einträge im Altsystem den Personen im IDM-Meta-Directory zugeordnet werden. Ansonsten kann das Altsystem nicht sinnvoll provisioniert werden.

Um das zu gewährleisten, wurden verschiedene Tools geschaffen.

Herr Tröger erstellte ein Matching-Framework, um flexibel neue Regelwerke implementieren zu können. Das Tool verfolgt einen generischen Ansatz und wird mit einer CRUD-Weboberfläche konfiguriert. Herr Zhelev fügte ein eingebettetes Regelwerk mit Hilfe von Java Business Rules Engine (drools) hinzu. Als Basis dafür wurde ein wissenschaftliches Fundament geschaffen, in dem erörtert wurde, wie man Personen-Objekte regelbasiert analysieren und matchen kann. Er hielt darüber einen Vortrag im Rahmen des Arbeitskreises Meta-Directory der Bayerischen Rechenzentren.

Daraus resultierten Fehlerlisten, die den Fachanwendern zur Verfügung gestellt wurden.

Ein ebenso wichtiges Ergebnis waren Methoden, mit deren Hilfe Einträge aus den Quellsystemen im Altsystem gefunden und markiert werden konnten. Leider blieben noch ca. 12000 Klärfälle übrig, wo nicht klar ist, ob es sich um ‘Sonstige’ (Gäste etc.) handelt, oder um Einträge mit Schreibfehlern, die nicht automatisch zu Einträgen aus den Zielsystemen zugeordnet werden konnten. Eine Liste mit ca. 5800 Einträgen, die in den Quellsystemen existieren aber nicht im Altsystem gefunden wurden wird derzeit von studentischen Hilfskräften abgearbeitet.

Damit diese Hilfskräfte effizient arbeiten können, wurde von Herrn Tröger ein Tool entwickelt, das einerseits gewährleistet, dass sie nur das sehen, was sie sehen dürfen, und andererseits die Arbeit stark unterstützt. Das Abarbeiten der Listen wird sicher noch einige Zeit in Anspruch nehmen.

Nicht zuletzt konnte aus den Erfahrungen mit den Matching-Algorithmen eine sinnvolle Kombination erarbeitet werden, die zu einem späteren Zeitpunkt in den Quellsystem-Treibern verwendung finden soll.

Das Altsystem wurde inzwischen auch lesend angebunden, wird aber vorerst nicht verwendet, da ein Parallelbetrieb von Alt- und Neusystem auf den gleichen Daten nicht mehr vorgesehen ist.

Die Anbindung von UnivIS steckt noch in den Kinderschuhen. Zwar existiert inzwischen eine Schnittstelle, aber im Moment verfügen wir nicht über die nötige Manpower für die Umsetzung. Erste Tests der API sind aber bereits erfolgt.

Herr Singer ist im Moment dabei, Novell Audit zu testen. Hier werden sich Herr Singer und Herr Rygus in Salt Lake City nähere Informationen holen. Im Moment lauscht ein rudimentär konfiguriertes Audit auf alles, was sich bietet.

Rein administrativ sind auch einige Hausaufgaben fertig gestellt worden. So sind die in der letzten Wochenmail erwähnten Platten im Produktivsystem im Betrieb. Die Nagios-Überwachung läuft. Unser Linux-Terminalserver ist inzwischen auch in Betrieb gegangen. Eine neue VMware für SSO ist auf Basis von Shibboleth 2.0 in Arbeit. Hier ist der Fokus aber noch etwas langfristiger. Vor Mai ist hier nicht mit entscheidendem Fortschritt zu rechnen. Als nächstes werden die Systeme an unser Backup angeschlossen.

Es wurde beschlossen, die bereits funktionsbereite Version des IDM-Systems für die Generierung von Kongress-WLAN-Accounts einzusetzen. Hier wird keine Datenbasis aus unserern Quellsystemen benötigt. Da keine schützenswerten Daten anfallen, kann das System im Wissenschaftsbereich bedenkenlos aufgesetzt werden. Die VMwares hierfür sind fertig. Die aktuellen Treiber müssen noch übertragen werden. Das System soll Ende dieser Woche für letzte Tests übergeben werden.

Zum Schluss muss leider noch angemerkt werden, dass IDMone mit seinen Anforderungen die Fähigkeiten der User Application derartig überfordert, dass beschlossen wurde, hier eine Eigenentwicklung einzusetzen. Das wirft zwar den Zeitplan von IDMone deutlich zurück, verspricht aber langfristig eine bessere, flexiblere, barrierefreie Weboberfläche, die wir besser pflegen können.

Die nächsten Schritte werden sein:

– Roll-Out der Kongress-WLAN-Anwendung
– Konzeption der Neuentwicklung zum Ersatz der User Application
– Herr Dr. Rygus und Herr Singer werden die Brainshare besuchen und dort versuchen, Antworten für eine Reihe von Fragen zu erhalten.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

IDM-Wochen_E-Mail KW 05

Die letzte Woche hat gezeigt, dass die noch ausstehenden Lasttests unserer Systeme dringend gemacht werden müssen. Beim bulk-load der Daten aus SOS waren die Systeme am Anschlag und konnten die Photos nicht mehr übertragen. Der Arbeitsspeicher von 3 GB war nicht ausreichend. Bereits vorher lief eine Platte aufgrund wachsender Swap-Files voll. Neue PLatten sind bestellt und sollten das zweite Problem beseitigen. Es ist allerdings noch zu klären, warum der Speicher trotz der für Datenbanken eher geringen Menge an Einträgen nicht ausreichend war. Des weiteren zieht der Dienst beim initialen bulk-load nahezu die gesamte Rechenleistung auf sich. Auch daran muss gearbeitet werden.

Wie oben bereits implizit erwähnt, ist der Treiber für die Anbindung an SOS soweit fertig, dass ohne Trigger gearbeitet werden kann. Abgesehen von den Hardwareproblemen und den hier noch ausstehenden Tests ist die Anbindung erfolgt. Die Punkte, die in der letzten Wochen-E-Mail für den Diapers-Treiber offen waren, gelten allerdings auch uneingeschrtänkt für den SOS-Treiber.

Inzwischen ist die lesende Anbindung des Altsystems in Arbeit. Das sollte diese Woche abgeschlossen sein. Danach kann die Datenqualität über alle unsere Quellsysteme getestet werden.

Erste Tests mit noch relativ einfachen Regeln und einer Normierung der Quelldaten haben gezeigt, dass das Regelwerk und die zugrunde liegenden Funktionen einer Überarbeitung bedürfen. Herr Zhelev kümmrert sich darum, die Levenshtein-Funktion zu modifizieren. Die Listen der zu überprüfenden Klärfälle gehen erst danach an die Fachanwender.

Herr Tröger bereitet bereits ein Framework vor, mit dessen Hilfe die Ergebnisse ausgewertet und angezeigt werden können. Die Fehlerlisten für die Fachanwender werden auch daraus generiert. Darüberhinaus prüft er die Möglichkeiten, ein sinnvolles Regelwerk im DirXML-Framework des Treibers zu implementieren.

Seit Ende letzter Woche unterzieht er das Schema einem nötigen Review. Dieser Vorgang dauert noch an.

Herr Zhelev hat sein Tool zur Passwortgenerierung zur Veröffentlichung vorbereitet. Er wurde in der vergangenen Woche einen Tag an das Team von CIT ausgeliehen, um dort die LDAP-Anbindung der Java-Applikation zu unterstützen. Sein Tool findet dort auch verwendung.

Herr Singer arbeitet bereits an der Vorbereitung des Regelbetriebes. Er hat das Überwachungs-Tool Munin eingerichtet.

Die nächsten Schritte in KW 06 werden sein:

– Arbeiten an den Matching-Regeln
– Prüfung von erkannten Klärfällen durch die Fachanwender (Übergabe)
– Lesende Anbindung des Altsystems

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

IDM-Wochen_E-Mail KW 04

In der vergangenen Woche wurde vor allem an der Anbindung der Quellsysteme gearbeitet. Der bulk-load der Daten aus Diapers ist inzwischen gelaufen. Verbesserungen können jedoch noch nötig werden, wenn klar ist, welche Matching-Regeln wir für den Betrieb benötigen. Hier sind führende Systeme zu deklarieren, damit die Datenbasis unabhängig von der Reihenfolge der Übernahme bleibt.

Die SOS-Anbindung ist soweit fertig, dass der erste Test eines bulk-load gerade läuft. Ob Anpassungen nötig werden, sieht man danach.

Herr Tröger arbeitete am Datenimport via JDBC in die Hilfsdatenbank, um die Matching-Regeln zu entwickeln. Das dauert noch an. Fehlerlisten für die Fachabteilungen sind in Arbeit. Statistiken ebenfalls.

Bei den Arbeiten am Self-Service-Portal stießen wir leider wieder auf einige Fehler bzw. nötige Anpassungen durch Novell. Die Bug-Reports sind online. Dennoch gehen die Arbeiten auch an der User Application weiter. Neu implementiert sind PDF-Druckfunktionen und eine bessere Verwaltung von Zugangsdaten für .war-Dateien.

Herr Zhelev bereitet gerade die Veröffentlichung von seinem im Rahmen von IDMone erstellten tool ‘pwgen’ vor. Dafür wurde Doku erstellt.

Herr Singer richtete die pam_ldap-Authentifizierung auf dem Server “sso” ein und bereitete mehrere Server auf die Einführung von Munin vor.

In der letzten Teambesprechung wurde der Projektplan aktualisiert. Es zeichnet sich ab, dass eine Einführung von IDMone in den Regelbetrieb nicht vor der KW 16 zu erwarten ist.

Die nächsten Schritte in KW 05 werden sein:

– Arbeiten an den Matching-Regeln
– Prüfung von erkannten Klärfällen durch die Fachanwender (Übergabe)
– Lesende Anbindung des Altsystems

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

IDM-Wochen-E-Mail KW 03

Die Zeit nach Weihnachten wurde genutzt, um die im Februar anstehende erste live-Anbindung vorzubereiten. Seit letzter Woche stehen die Quellsysteme prinzipiell zur Verfügung. Teilweise müssen die Views noch angepasst werden, um die Anforderungen abzudecken.

Der erste bulk-load der Diapers-Daten läuft. Die SOS-Daten können aufgrund eines Fehlers im View der Datenbank noch nicht ausgelesen werden. Es wird daran gearbeitet.

Parallel wurden die Quelldaten aus SOS und Diapers via Script in eine Hilfs-Datenbank eingelesen. Mit Scripten auf diese Datenbank soll die Datenqualität der Quellsysteme beurteilt und erste Auswertungen zur Zusammenführung der Datenbestände erstellt werden. Die Arbeiten dauern hier noch an.

Darüberhinaus wurde die Provisionierung von Sitebar vorbereitet. Es wurden Workflows und Anzeige-Portlets erstellt.

Auch an der Provisionierung des E-Mail-Systems wurde gearbeitet. Hier treffen die Anforderungen allerdings nur sehr zögernd ein, sodass ein Ende nicht in Sicht ist.

Herr Singer setzte den Server für SSO neu auf, sodass auch hier eine Provisionierung bald möglich ist. Der erste Terminalserver in der ZUV-DMZ (pp-win-ts) ist betriebsbereit und wird genutzt.

Herr Zhelev und Herr Eggers machten die User-App ‘salonfähig’, d.h. die Oberflächen und die Anordnung der bereits verfügbaren Portlets wurden finalisiert.

Herr Rygus vertrat das RRZE am Freitag in der Videokonferenz der Bayerischen Rechenzentren. Leider war diese Konferenz nicht sehr ergiebig, da man Augsburg nicht verstehen konnte, Würzburg einen anderen Termin hatte und deshalb sehr früh gehen musste und die Ausführungen des LRZ zum Thema 1:n bzw. n:1-Beziehungen im Identity Manager nur schwer nachvollziehbar waren. Das LRZ wird die notwendigen Dokumente zur Verfügung stellen.

Die nächsten Schritte der laufenden Woche werden sein:

Finale Anbindung der Quellsysteme SOS und Diapers und erste Versuche einer Datenzusammenführung.

Danach wird mit folgender Priorisierung weitergearbeitet:

1 Bereinigung der Quelldatenbasis (Daten-Merge)
– Anbindung der Quellsysteme
– Beurteilung der Datenqualität
– Erarbeitung eines Merge-Konzepts
– Merge

2 Anbindung Altsystem
– Provisionierung der bereinigten Daten in einen
Provisionierungsbaum des Altsystems (IDMone)
– Einspielen der Daten ins Altsystem (GB)
– Abschalten der Datenübernahme aus der ZUV (Export und Import) (GB)

3 Versorgung der Studenten
– Aktivierung via Self-Service
– Weitere Self-Service-Funktionen

4 Anbindung Shibboleth
– Provisionierung LDAP-Server
– Bereitstellung IDP

5 Anbindung Radius
– Provisionierung LDAP-Server

6 Anbindung ADS/NDS

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

IDM-Wochen-E-Mail KW 51

Die vergangenen Wochen waren geprägt von vielen Kleinarbeiten, um zu Beginn des SS08 den ersten Teil der Migration zu einem von IDMone betriebenen Meta-Directory zu realisieren.

Herr Zhelev entwickelte Basis-Portlets und -Workflows für alle Zielsysteme, deren Passwörter IDMone im ersten Schritt verwalten muss. Darüberhinaus arbeitet er an ersten Portlets für Admin-Funktionalitäten.

Herr Singer installierte die Server im geschützten Netz der ZUV. Das Produktiv- und das Testsystem (idm-md-prod, idm-md-test) sind bereit.
Der Windows-Terminalserver ist nun auch in seiner Hand. Im Wissenschaftsbereich steht IDMone ein weiterer VMware-Rechner zu Testzwecken zur Verfügung. Die RRZE-Novell-Verantwortlichen bekamen von Herrn Singer eine vorbereitete VMware unter Netware 6.5, um das Testsystem für die Anbindung aufsetzen zu können.

Erste Schritte in Richtung Anbindung des Altsystems sind von Herrn Tröger unternommen worden. Ebenso wurden die ersten Vorgaben zur Anbindung des E-Mail-Systems erfüllt und die Funktion ‘Create ISS-Account’ testweise implementiert. Die Attributliste für die Datenschutzselbstauskunft wurde ebenfalls ergänzt. Ein ‘GroupGenerator’ hilt beim Handling der Gruppen und hilft, eine administrierbare Gruppenlösung für das Meta-Directory zu schaffen.

Des weiteren kümmerte sich Herr Tröger um kleinere Aufräumarbeiten an den Treibern und um deren Dokumentation. Die initiale Gruppenstruktur ist ebenso fertig.

Herr Rygus und Herr Singer besuchten den DFN-PKI-Workshop in Regensburg.

Leider besteht aktuell noch kein Zugriff auf die Echtdaten unserer Quellsysteme in der ZUV. Die Bereitstellung der Views und Trigger dauert immer noch an. Aus diesem Grund muss die Möglichkeit, die Zusammenführung der Datenbestände bis Ende Februar zu schaffen, heftig bezweifelt werden. Herr Rygus arbeitet an einem Konzept für einen Workaround.

Die nächsten zwei Wochen ist IDMone in Urlaub. Danach wird zuerst die Anbindung der Quellsysteme und deren Zusammenführung auf der Agenda stehen. Nachdem erste Erkenntnisse über die Datenqualität vorliegen, wird der Projektplan für 2008 an die aktuelle Situation angepasst.

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

DFN-PKI Workshop in Regensburg

Herr Rygus und Herr Singer besuchten am 13. Dezember einen Workshop zur DFN-PKI in Regensburg.

Themen des Workshops waren
1. Einführung
2. Chancen, Möglichkeiten und Voraussetzungen für die Nutzung der Policy “Global”
3. Allgemeine Diskussion

Tagespunkt 1 und 2 wurden von Herrn Pattloch des DFN-Vereins vorgetragen.
In der Einführung wurden allgemeine Informationen über den Dienst DFN-PKI vorgetragen.
Dieser wird vom Deutschen Forschungsnetz angeboten und umfasst eine Public Key Infrastruktur,
um digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Dabei liegt der Schwerpunkt
auf fortgeschrittenen Zertifikaten auf Basis des X.509 Standards.

Als nächstes wurde die anfang des Jahres neu eingeführte Policy “Global” vorgestellt.
Das Wurzelzertifikat ist bis 30. Juni 2019 gültig.
Im Gegensatz zu den “Classic” und “Basic” Policies, bei denen der öffentliche Schlüssel der
Policy Certification Authority jeweils in einem selbstsignierten Wurzelzertifikat enthalten
sind, ist bei der “Global”-Policy der öffentliche Schlüssel der PCA in einem durch die
Deutsche Telekom Root CA 2 ausgestelltem Zertifikat enthalten.
Somit ist das Wurzelzertifikat der “Global”-Policy in den den meisten Browsern verankert und
als vertrauenswürdig eingstuft. Bei Mozilla gibt es noch kleinere Probleme wie zum Beispiel,
dass das E-Mail-Programm Thunderbird und der Internet-Browser Firefox nicht auf die selben
Zertifikate zurückgreifen können. Diese Probleme sind voraussichtlich bis Frühjahr 2008 behoben.
In Vorbereitung ist außerdem die Implementierung von Java-Keystore, Adobe- und Mac-Zertifikaten.

Als neuer Dienst wurde der Self-Service vorgestellt. Über diese kann u.a. eine große Anzahl
von Zertifikaten auf einmal angefordert werden.

Der DFN-Verein führt eine neue Schnittstelle mit dem Namen SOAP ein welche zum Beispiel die
Verknüpfung mit Chipkarten oder die Integration von Nutzerportalen ermöglicht. Die
Dokumentation der Schnittstelle und Programmierbeispiele in der Programmiersprache Java sind
auf Anfrage beim DFN-Verein erhältlich.

Zum Schluss der Präsentation wurde noch kurz auf DFN-CERT eingegangen, welches mögliche
Sicherheitslücken protokolliert und daraufhin Warnmeldungen mit weiteren Informationen und
Links zu Patches verschickt. DFN-CERT ist im Dienst DFNInternet enthalten und kann ohne
zusätzliches Entgelt genutzt werden.

Bei der allgemeinen Diskussion wurde u.a. geklärt, dass Heirat oder Scheidung das Austellen
eines neuen Zertifikates zur Folge hat. Weiter wurde ausführlich diskutiert, wie mit privaten
Schlüsseln an der Universität umgegangen werden soll. Dabei wurde auf Probleme wie die
Sicherung der privaten Schlüssel, die Einführung von Token oder Smart Cards an der Universität
und datenschutzrechtliche Dinge eingegangen.

Der Workshop erfüllte die Erwartungen und bot einen allgemeinen Überblick über den
Leistungsumfang von DFN-PKI. Auf Grund der großen Teilnehmerzahl ist geplant den Workshop von
nun an jährlich zu veranstalten.

IDM-Wochen-E-Mail 48

Es stellt sich langsam die Frage, warum dass Projekt mit den vorzeigbaren Ergebnissen so schleppend voran kommt?
Im Entwicklungssystem sieht es eigentlich alles gut aus?!
Nun das Projekt ist bezüglich der Systemumgebung vom Pech verfolgt.
Hat sich erst die Lieferung der Server um Wochen verzögert, brannten dann die beiden neuen Systeme ohne allerdings den Betrieb einzustellen.
Sie lesen richtig – die Server brannten. Aus diesem Grund wurden die Systeme von der Abteilung zentrale Systeme auf Herz und Nieren durch gechecked.
Danach begann die ACL-freischalt-Orgie: Stehen die Server doch in unserem sichersten Netzsegment in dem alle Kommunikationsverbindungen einzeln freigeschaltet werden müssen. Der E-Mail-Verkehr dazu zog sich über mehr als zwei Wochen und nicht weniger als 15 Iterationen hin.
Nachdem der Zugriff auf die Systeme gewährleistet war konnte nun die Konfiguration des VMware ESX beginnen. Doch nun stellte der Transport der virtuellen Maschinen in das gesicherte Netzsegment dar. Ist für die Administration das “Terminal-Server-Hopping” noch ein vielleicht lästiger aber ertragbarer Zugriffsweg, so stellt dies für den Datenverkehr eine erhebliche Hürde dar. 70 GB bei 1,3 MB/s zu kopieren ist nicht wirklich ein Spass! Also musste auch noch ein Transportweg für Daten geschaffen werden. Dies erfolgte in rekordverdächtigen drei Tagen.
Und dann mussten wir vor VMware ESX kapitulieren. Unsere zentralen Systemadministratoren schlugen sich wacker aber die Probleme nahmen Überhand und so musste am vergangenen Donnerstag das Scheitern erklärt werden.
Aus der Traum von der ressourceneffizienten Verwendung unserer Performance-Monster und zurück zu SLES und VMware Server. Glücklicherweise haben die Kollegen bei CIT http://www.cit.uni-erlangen.de/nc/blog/detailansicht/meldung/neukonfiguration-drbd-und-heartbeat/ für diese Systemumgebung eine Hochverfügbarkeitslösung ausgetüftelt.
Seit dem heutigen Tagen laufen die Hostsysteme problemlos und das Deloyment durch Herrn Singer läuft auf Hochtouren. Mal sehen wie lange noch?!

Und was war sonst noch?
Nicht viel könnte man meinen, aber weit gefehlt!

Herr Dr. Rygus http://www.blogs.uni-erlangen.de/IDM/stories/1229/ war mit Herrn Buzek von Campus IT bei der Campus Source in Dortmund. Im Bezug auf die SOS- / Diapers-Anbindung gab es noch Klärungsbedarf. Die Doku im Wiki wurde überarbeitet und dürfte derzeit sowohl hinsichtlich der allgemeinen Konzeption als auch dem Stand der aktuellen Arbeitspakete hochaktuell sein. Desweiteren konnte Herr Dr. Rygus in einem Gespräch mit Herrn Büttner die Anbindung des Altsystems sowie die Migration der Daten der Quellsysteme klären. Ein großer Schritt hin zu einem lauffähigen Produktivsystem.

Und in Zusammenarbeit mit Herrn Eggers sammelte Herr Dr. Rygus diverse offene Fragen um diese bei Novell vorzubringen. Die Antworten darauf werden in den nächsten Tagen erwartet.

Herr Tröger hat einen weiteren Bug im Novell IDM reported und sich der internen Gruppen-Struktur neuordnend angenommen. Außerdem konnte er inzwischen die Anbindung den E-Mail-System praktisch umsetzend angehen.

Herr Zhelev bereitet sein PWgenER – eine Umsetzung des Unix klassikers pwgen http://sourceforge.net/projects/pwgen/ in Java – für die Veröffentlichung vor. Außerdem hat er die Portlets zur Anzeige von bezogenen Dienstleistungen sowie deren Bearbeitungsstand verbessert. Zusätzlich hat er für weitere Programmteile für die interne Logik der UserApp erstellt.

Herr Singer hat alles für das Deployment vorbereitet und sich in der Zwischenzeit des Wartens (s.o.) mit den Themen Monitoring und Hochverfügbarkeit beschäftigt.

Donnerstag und Freitag nahmen die Herren Singer, Tröger und Zhelev an einer Schulung zu PostgreSQL teil.

Um den nebenbei anfallenden Formalkram, wie Dienstleistungsportfolioworkshops, Diskussionsmoderation, Klärung von Detailfragen zu Prozessen, Arbeitsplanung FAU.ORG und die neuen Teamassistenzen hat sich Herr Eggers gekümmert.

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

In dieser Woche steht die Rückmeldung Novells auf diverse offene Fragen aus.
Es gibt ein Gespräch mit den Vertretern des Personalrats, die Dienstleistungsportfolioworkshops werden fortgesetzt und die nächste Publikation steht an. Herr Dr. Rygus und Herr Singer werden am Donnerstag die shibboleth Workshop des DFN in Regenburg besuchen.
Außerdem gilt es die Arbeitspakete ADS, NDS zu definieren und den Einsatz der Novell Consultants zu planen.

CampusSource-Workshop Dortmund am 04.12.2007

Am 03. und 04.12.2007 luden die Projektverantwortlichen des CampusSource-Projekts an die Universität Dortmund ein. V. Buzek und P. Rygus besuchten gemeinsam den zweiten Tag, an dem die Vorträge eher technischen Charakter hatten.

Eröffnet wurde der Workshop von Herrn M. Postel, der einiges über Hintergründe und Projekthistorie berichtete. So wartet beispielsweise das bewilligte Projekt immer noch auf erste Zahlungen.

Herr Christof Pohl gab anschliessend eine Einführung in die CampusSource Engine (CSE).
Die CSE ist demnach eine Middleware mit Enterprise Service Bus (ESB) Charakter. Sie verhält sich nach dem Grundsatz des ‘Message Based Coupling’, was eine schwache Bindung zwischen den Systemen bedeutet. Die Systeme selbst können dadurch weitestgehend autark bleiben und werden von der Engine nur verwendet. Dabei wird das Prozessmodell von der technischen Umsetzung getrennt. Im Prinzip werden immer jeweils zwei Systeme miteinander verbunden und je nach Anforderungen Daten verschoben. Die Engine selbst kann nur auf Ereignisse reagieren. Eigene Abfragen sind nicht möglich. Das System speichert keine eigenen Daten, hat also auch keine datenschutzrelevanten Probleme, wie sie im Zusammenhang mit Meta-Directories vorkommen. Alle übergreifenden Funktionalitäten sind hier abgebildet und werden zentral umgesetzt. Es geht in die Richtung ‘Virtuelles Directory für Prozesse’. Die CSE ist ein Framework für Kopplungslösungen mit Fokus auf den Bildungsbereich. Guter Ansatz, aber bisher leider nicht sehr weit implementiert.

Bisher gibt es Konnektoren für Web Services, PHP, JAVA, .NET. Clustering der Lösung ist möglich. Die Engine nutzt den Java Messaging Service. Als Voraussetzung muss ein IDM-System mit AAA-Lösung vorhanden sein.

Herr Pohl hält Repositories für die CSE nur bei universitätsübergreifenden Lösungen für nötig. Bei Installationen überschaubarer Größe kommt man ohne aus.

Im folgenden wurden die Komponenten der CSE beschrieben. Die Adapter für Endsysteme (EWS II, HIS LSF, ILIAS, IMC-Clix) sind bereits fertig. Sie erledigen die Kommunikation auf Protokoll- und Prozessebene. Adapter für Datenbanken, Web Services und LDAP gibt es ebenfalls. Jeder Adapter sucht sich die Daten dort zusammen, wo sie liegen. Die Informationen dafür sind intern abgelegt. Das interne Datenmodell kennt alle Veranstaltungen, Personen, Rollen bzw. Verzeichniselemente, deren Relationen frei wählbar sind. Abgelegt wird alles in XML. Abhängigkeiten werden automatisch aufgelöst und so die Geschäftslogik und die Prozessmodellierung umgesetzt. Eine Routine zur Fehlerbehandlung versucht, Inkonsistenzen aufzudecken und zu beheben. Es gibt aber keine Rollback-Funktion. Die CSE wird derzeit nur mit JBoss entwickelt.

Die nächsten Schritte werden sein, zusammen mit der Uni Cottbus eine Referenzinstallation aufzubauen und die Dokumentation zu erstellen. Derzeit gibt es Dokumentation nur im Quelltext. Konnektoren für Moodle, OpenUSS sind in PLanung, die Anbindung von StudIP und Metacoon ist noch in Diskussion. Die Geschäftslogik wird derzeit noch im Java Quelltext abgelegt. Künftig soll dafür jBPM Verwendung finden.

Der Quelltext wird via CVS unter http://cse.campussource.de verfügbar sein.

Anschliessend trug Herr Jauer von der HIS Zukunftsträume vor. Interessant daran ist aus heutiger IDMone-Sicht eigentlich nur, dass die Module weiterhin weitestgehend autark bleiben sollen. Bei den Schnittstellen, die künftig angeboten werden, ist SOAP die Methode der Wahl. Alles Weitere kann erst in die Diskussion einfließen, wenn die Umsetzung in einem realistischen Zeithorizont erwartet werden kann.

Das Identity Management an der Uni Duisburg-Essen wurde im Anschluss von Herrn Lützenkirchen vorgestellt. Leider ging er nicht ins Detail. In Duisburg arbeitet man weitestgehend mit Rollen, um die Geschäftsregeln abzubilden. SSO via CAS ist dort auch bereits realisiert. Das IDM-System basiert auf IBM Tivoli. Verbunden sind die Systeme HIS SVA und SOS, Aleph für die Bibliothek, das Studentenportal, CAS, BSCW, Moodle, ILIAS, LDAP, Radius, AD, Mail und WLAN. Die Matrix der Dienstleistungen aufgetragen über die Kundengruppen passte auf eine Folie. Das kann man durchaus als gelungene Konzentration auf das Wesentliche bezeichnen. Da die Personensuche nur über LSF erfolgt, scheint es keine Gäste zu geben, die wie Personen behandelt werden. CAS wird für den Zugang zu Diensten und Rechnern verwendet. CAS kann zwar Kerberos und SSOut, ist aber nicht in der Lage, Parameter zu übertragen.

Im folgenden Vortrag stellte Herr Dr. Stüttgen den Sun Identity Manager vor. Die Directory Server Enterprise Edition bietet im Unterschied zu den meisten Mitanbietern kein Meta-Directory, sondern ein Virtuelles Directory an. Wie die Probleme mit nicht aktuellen oder unvollständigen Einträgen durch nicht verfügbare Systeme gelöst wurden, blieb aber offen. Bemerkenswert ist, dass alle Produkte als Open Source angeboten werden. Der Sun Identity Manager arbeitet mit einem flachen Rollenkonzept. Er kommt ohne Agenten auf den Zielsystemen aus. Als SSo-Lösung wurde die Liberty-Lösung gewählt, da hier offenbar bereits der SAML 2.0 Standard implementiert ist. Sobald Shibboleth 2.0 verfügbar ist, soll dies eingesetzt werden.

Herr Jens Schwendel vom Bildungsportal Sachsen stellte den OPAL-Dienst vor, der einrichtungsübergreifend von allen Bildungseinrichtungen Sachsens genutzt werden kann. OPAL arbeitet mit einer Shibboleth-Lösung. Die bekannten Probleme (SSOut, Deprovisionierung, Rollenmanagement) sind auch hier nicht gelöst. Leider wurde nur kurz auf das SaxIS-Projekt verwiesen.

Im Anschluss an diesen Vortrag las Herr Kasparek seine Folien über die Entwicklungs- und Laufzeitumgebung der CSE vor. Da die Folien demnächst online sein werden, wird an dieser Stelle auf eine ausführliche Zusammenfassung verzichtet. Die Folien waren allerdings durchaus interressant.

Ein etwas anderes Thema wurde von Herrn Dr. G. Pfüller von Horvath und Partner geboten. Er beleuchtete die technischen Aspekte von der wirtschaftlichen Seite. Seine Folien verdienen auch Beachtung.

Leider entfiel die Live-Präsentation der Referenzinstallation, da das System nicht lief. Dafür konnten viele Fragen beantwortet werden. Als Abschluss wurde noch über Neuigkeiten der Systeme LON-CAPA, ILIAS, OpenUSS und FuXML berichtet.

Leider konnte der Workshop die in ihn gesetzten Erwartungen nicht voll erfüllen, da das CampusSource-Projekt noch zu sehr in den Kinderschuhen steckt, um uns im laufenden IDMone-Projekt zu helfen.

IDM-Wochen-E-Mail 47

Die letzten Wochen waren von konzentrierter Arbeit geprägt, weswegen es auch etwas still in Sachen Wochen-E-Mail wurde. Das Team hat die Umsetzung des Systems, das das brandneue eDir-Feature ‘nested groups’ weitestgehend ausnutzt, so weit fertig, dass die initiale Provisionierung einer Person aus DIAPERS funktioniert. Veränderungen, d.h. modifizieren oder löschen einer Person bzw. der dazugehörenden Einträge sind noch nicht fertig. Teile davon liefert die DirXML-Engine allerdings ohne nennenswerten Mehraufwand mit.

Herr Zhelev konnte die Arbeiten an der Anpassung der User Application an unsere Bedürfnisse gut vorantreiben. So wurde die Portierung der Routinen für die User Application auf die Version 3.5.1 fertig gestellt. Auch die Integration des Passwort-Vorschlag-Service in die Aktivierungsmaske ist gelungen. Das Portlet für die Anzeige der ‘Entitlements’ mit PDF-Generierung und die Definition der Workflows für das Arbeitspaket WLAN sind fertig. Eine Bibliothek mit Hilfsroutinen erleichtert das Generieren von Style-Sheets, die Umstellung der Benutzersprache und die PDF-Generierung.

In der vergangenen Woche konnte auch die exemplarische Provisionierung eines WLAN-Accounts realisiert werden. Somit ist erstmals der volle Zyklus vom Neueintrag im DIAPERS über die Aktivierung bis zur Provisionierung eines Zielsystems und dessen Nutzung durchlaufen worden. Damit liegt das Team voll im Zeitplan.

Es sind zwar im Laufe der Entwicklung einige Software-Bugs aufgetreten, das IDMone-Team geht aber davon aus, dass diese zeitnah behoben werden und somit kein großes Problem darstellen. Eine verbindliche Aussage seitens Novell zum Support von IDM 3.5.1 zusammen mit eDir 8.8.2 steht noch aus, wird aber diese Woche erwartet.

Auch die Dokumentation im Wiki wurde überarbeitet. Das wurde zwar teilweise bereits von der jüngsten Entwicklung wieder überholt, ist aber weitgehend aktuell und wird laufend angepasst.

Herr Tröger und Herr Zhelev haben auch im wissenschaftlichen Bereich Fortschritte gemacht und für ihre Promotion den fachlichen Rahmen konkretisiert. Herr Tröger hat in diesem Zusammenhang bereits eine Studienarbeit vergeben.

Die Top-Punkte im Risiko-Management sind derzeit:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

In dieser Woche steht eine Präsentation im Rahmen der AG IDMone und eine Videokonferenz mit den Kollegen von IDM@Bayern an. Des Weiteren werden die nächsten Ziele definiert und die Umsetzung begonnen.

Protokoll der Lenkungsausschusssitzung vom 06.11.2007

Das Protokoll zur heutigen Sitzung des IDMone Lenkungsausschusses fällt wegen einer Präsentation sehr kurz aus.

Tagesordnungspunkt 1: Status Projekt
Herr Tröger und Herr Zhelev präsentierten den aktuellen Stand des Projekts. Dieser umfasst die Übernahme der Organisationsstruktur – derzeit noch aus DIAPERS – sowie die Anlage der Testmitarbeiter. Sowie die Aktivierung neu angelegter Identitäten. Herr Tröger stellte dabei die internen Automatismen des Meta-Directorys vor, die eigentlich vor den Augen aller verborgen bleiben. Herr Zhelev konnte einen ersten Einblick in die Oberfläche des IDM-Self-Service gewähren. Zudem führte er in der Sitzung vor welche Mächtigkeit die Genehmigungsworkflows haben.
Herr Adam wies darauf hin, dass der Punkt Usability noch einigen Aufwand bedarf und es sinnvoll sein wird Testuser mit dem System zu beschäftigen.

Herr Dr. Rygus stellte das weitere Vorgehen vor, dass als nächstes Ziel bis Ende November die Implementierung eines kompletten Durchlaufs am Beispiel WLAN beinhaltet. Im Anschluss daran sollen die Kollegen im RRZE in den Genuss einer öffentlichen Funktionspräsentation kommen. Anschließend wird die Konzeption der Löschporozesse anstehen. Es ist möglich, dass die Zielsysteme DIAPERS und HIS SOS bis Ende Dezember angebunden sind. Dies ist derzeit aber vor allem von der Zustimmung des Datenschutzbeauftragten abhängig.
Herr Dr. Rygus wies noch einmal darauf hin, dass die Zusammenführung der Daten und die Identifikation der Personen eine große und umfangreiche Aufgabe für das Projekt darstellen wird.
Klar wurde anhand der heutigen Präsentation, dass ein Kernsystem auf der Basis der aktuellen Anforderungen steht. Änderungen hieran werden sich im zeitlichen Verlauf aber sicherlich ergeben. Ob das Konzept auch tragfähig ist, hängt von der noch ausstehenden Aussage Novells zu der Performance der Nested Groups ab.

Der Jahresbericht IDMone bedarf vor der Abgabe Ende November einer Aktualisierung. Diese wird Herr Eggers vornehmen und die neue Version den Lenkungsausschussmitgliedern zur Kenntnis geben.

Tagesordnungspunkt 2: Risiko Management – Review der Top Risiken / offene Punkte
Es sind die lang bekannten in jedem Wochenbericht erwähnten Punkte:
– Barrierefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Tagesordnungspunkt 3: Ausblick bis nächster Termin / Nächster Termin
Der Ausblick wurde bereits unter TOP 1 von Herr Dr. Rygus gegeben.
Der nächste Termin für die Lenkungsausschusssitzung ist am 22.01.2008 – 14 – 17 Uhr vorbehaltlich einer Bestätigung durch Herrn Adam.

Tagesordnungspunkt 4: Sonstiges
Herr Eggers hat nochmal betont, wie sehr das RRZE mit der Arbeit und den Berichten von Herrn Klasen zufrieden ist. Allerdings sind die Berichts zu aufwendig und damit im Verhältnis zum Nutzen zu teuer. Es wurde daher vereinbart, dass Herr Klasen nur noch seine Notizen als Bericht zur Verfügung stellt.