RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Neue Benutzerverwaltung geht in die erste Produktivrunde

Das am Regionalen RechenZentrum Erlangen angesiedelte Projekt IDMone hat den Aufbau einer zentralen Identitätsverwaltung zur automatisierten Vergabe von Benutzerkennungen für alle Angehörigen und Kunden der Friedrich-Alexander-Universität zum Ziel.

Vier Mitarbeiter des Projekts IDMone arbeiten seit November 2006 am Aufbau einer zentralen Identity-Management-Infrastruktur die als Grundlage für eine effiziente Nutzung der universitären IT-Dienste dienen soll. Am Mittwoch, den 8.Oktober 2008, geht IDMone “hinter den Kulissen” mit einem ersten Teilergebnis in den Produktivbetrieb. Die Daten aller aktivierten, also frei geschalteten, Studierenden werden automatisch in das Webportal für Studierende und Prüfer ,mein campus, provisioniert. Damit müssen Benutzeraccounts nicht mehr manuell angelegt werden und Studierende können ihr Passwort jederzeit über die Funktion “Passwort vergessen” selbst zurücksetzen. Dies trägt zu einer wesentlichen Entlastung der Hotline und des Helpdesks von mein campus bei. Eine Weboberfläche, über die schließlich die zentrale Passwortverwaltung für verschiedene Dienste erfolgt, erhält IDMone in den kommenden Wochen.

Das Projektleitdokument sowie das Fachkonzept mit grundsätzlichen Überlegungen zur technischen Realisierung sind unter http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml veröffentlicht. Alle Arbeitsschritte werden darüber hinaus von IDMone unter http://www.blogs.uni-erlangen.de/IDM/ gebloggt.

First round of productivity for new user management

IDMone, is a project of the Regional Computing Centre Erlangen (RRZE). Its main task is the creation of a centralized identity management, assigning user IDs to all members and customers of the Friedrich-Alexander-University.

Since November 2006, four members of project IDMone have been working on creating a central identity management infrastructure. This is going to be the basis for efficient use of university IT-services. On Wednesday, October 8th 2008, IDMone will start productivity “behind the scenes” with a first part of its results. The web portal mein campus will be automatically provisioned with data for all active students with activated user IDs. That means user accounts no longer need to be created manually, and students can reset their passwords with the “password change” functionality. This will relieve some of the workload on mein campus’s Hotline and Helpdesk. Within the next weeks, IDMone will get a web interface for central password management for the various services.

You can find the a project summary document and the technical conceptualization with basic considerations concerning the realization under http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml. All design steps will also be blogged by IDMone under http://www.blogs.uni-erlangen.de/IDM/.

Neue Benutzerverwaltung geht in die erste Produktivrunde

Das am Regionalen RechenZentrum Erlangen angesiedelte Projekt IDMone hat den Aufbau einer zentralen Identitätsverwaltung zur automatisierten Vergabe von Benutzerkennungen für alle Angehörigen und Kunden der Friedrich-Alexander-Universität zum Ziel.

Vier Mitarbeiter des Projekts IDMone arbeiten seit November 2006 am Aufbau einer zentralen Identity-Management-Infrastruktur die als Grundlage für eine effiziente Nutzung der universitären IT-Dienste dienen soll. Am Mittwoch, den 8.Oktober 2008, geht IDMone “hinter den Kulissen” mit einem ersten Teilergebnis in den Produktivbetrieb. Die Daten aller aktivierten, also frei geschalteten, Studierenden werden automatisch in das Webportal für Studierende und Prüfer ,mein campus, provisioniert. Damit müssen Benutzeraccounts nicht mehr manuell angelegt werden und Studierende können ihr Passwort jederzeit über die Funktion “Passwort vergessen” selbst zurücksetzen. Dies trägt zu einer wesentlichen Entlastung der Hotline und des Helpdesks von mein campus bei. Eine Weboberfläche, über die schließlich die zentrale Passwortverwaltung für verschiedene Dienste erfolgt, erhält IDMone in den kommenden Wochen.

Das Projektleitdokument sowie das Fachkonzept mit grundsätzlichen Überlegungen zur technischen Realisierung sind unter http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/idm.shtml veröffentlicht. Alle Arbeitsschritte werden darüber hinaus von IDMone unter http://www.blogs.uni-erlangen.de/IDM/ gebloggt.

Wochen-E-Mail KW 38

Nach der 3 stündigen AG IDMone Sitzung am vergangenen Dienstag (16.09.08) kann man wohl RRZE-intern die Frage stellen: “Alle Klarheiten beseitigt?”. 😉

Damit ist auch das Highlight der Woche bereits benannt. Die Kollegen am RRZE wurden umfassend über den Stand der Arbeiten, den Hintergrund hinter manchen Funktionen sowie die Release-Planung informiert. Und das erforderte Stehvermögen!

Außerdem wurde die Anbindung der Quellsysteme in großer Runde besprochen. Ein internes Protokoll beschreibt die Details. Als wichtiges Element kann man jedoch die indirekte Anbindung von “mein campus” bezeichnen. Hierfür muss eine Systemanbindung zwar nochmal verfeinert werden und auch bei “mein campus” gibt es Anpassungsbedarf, aber dann werden die Studierendendaten bis nach “mein campus” gelangen. Die leidige Passwort-Problematik sollte damit endgültig ein Ende haben!

Herr Dr. Rygus hat u.a. dafür mit Herrn Büttner an der sowohl lesenden wie schreibenden Anbindung des Altsystems gearbeitet. Außerdem stellte er dem internen Lenkungsausschuss die aktuelle Lage im Projekt dar.

Herr Singer hat das Backup erfolgreich am zukünftigen Produktivsystem getestet. Auch für einen Totalausfall ist das IDM also nun gewappnet. Außerdem hat er verschiedene Arbeiten an der Infrastruktur vorgenommen. Von seiner Seite sollten in der nächten Woche die Systeme für den Produktivbetrieb bereit sein.

Herr Tröger hat wieder einmal den Projektplan aktualisiert und vor allem an WAID gearbeitet. So ist er dabei den “Data Linkage Gopher” in WAID zu integrieren. Außerdem integriert er die von Herrn Zhelev im Rahmen von PPSA definierten Komponenten. Dies wird zu einer einheitlichen Software-Basis für alle P&P-Web-Anwendungen führen.

Herr Zhelev hat sich wieder hauptsächlich um FAU.ORG und PPSA gekümmert. Nur bei WAID musste er kurz hinfassen, da eine Verbesserung der Applikationssicherheit und die Behebung eines Fehlers in der PDF-Erstellung anstanden.

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Dienstleistungsportfolio

Und in den nächsten zwei Wochen kann das Team endlich mal wieder produktiv und in Ruhe arbeiten, denn Herr Eggers macht Urlaub. Ansonsten werden Herr Büttner und Herr Dr. Rygus die Anbindung des Altsystems voran treiben, Herr Tröger wird die Adminfunktionen in WAID programmieren und Herrn Rygus zu diensten sein.

Volle Fahrt in Richtung Release 1 am 08.10.2008 also!

AK Meta-Dir am 23.07.2008

Herr Dr. Rygus nahm für das RRZE am Arbeitskreis Meta-Directory in Augsburg teil.

Zunächst stellte Frau Maria Schmaus aus Augsburg den aktuellen Stand des IDM-Systems dar. Nach einem Überblick über die bereits früher vorgestellte Gesamtstruktur wurde das Konzept für die Gruppenverwaltung erläutert.

– In Augsburg wird die Gruppenverwaltung dezentral geschehen. In jeder OU der ‘gelebten’ Organisationsstruktur, die keinen offiziellen Status geniesst, gibt es eine Gruppe ‘admins’, die Adminstrationsrechte innerhalb dieser OU hat. Die Gruppe und die OU selbst wird nur zentral von den IDM-Admins verwaltet. Die Berechtigungsverwaltung geschieht über ‘Sets’, was die Funktionalität von ‘nested groups’ bei Novell eDirectory abbildet.
– Das Matching der Datenbestände wurde händisch durchgeführt.
– Self-Service für Studierende oder Mitarbeiter ist nicht geplant.
– Für die Anbindung von SOS ist eine DLL vorhanden, die es erlaubt, die Kennung extern, d.h. im IDM-System zu generieren.
– Die Administration wird via Kommandozeile durchgeführt. Ein Webtool ist in Planung.

Nach dem Vortrag von Frau Schmaus berichtete Herr Rygus vom aktuellen Stand von IDMone.

Herr Hommel vom LRZ referierte im Anschluss über die Fortschritte im Projekt LRZ-SIM, über das DFN-AAI E-Learning-Profil und Shibboleth 2.0

LRZ-SIM konnte ohne Probleme über ein langes Wochende die alte Benutzerverwaltung ablösen und wird sehr gut angenommen. Jetzt werden einige Dienste (z.B. RADIUS, Webmail) über LDAP-Authentifizierung bedient. Das WEb-Frontend wird rege genutzt. Seit der Inbetriebmnahme wurden zusätzliche Authentifizierungsserver zur Lastverteilung in Betrieb genommen und das Web-Frontend verbessert.

Aktuell wird am Merge von Personenobjekten, der Integration von Grid-Kennungen, der Dokumentation via phpMyFAQ und der Bereinigung des eigenen Datenbestands gearbeitet.

Die aktuelle Version des E-Learning-Profils wurde vorgestellt. Inzwischen liegt die aktuelle, aber noch inoffizielle Version auch schriftlich vor, weswegen hier nicht näher darauf eingegangen wird.

Shibbolleth 2.0 in Stichpunkten:
– verschiedene Authentifizierungsmechanismen wurden integriert.
— Der SP kann einen vorgeben oder eine Re-Authentifizierung fordern.
— Passive Authentifizierung möglich, d.h. ohne Interaktion des Benutzers mit dem WAYF/Discovery Service
– Single-Sign-out ist noch nicht verfügbar.
– Die Installation ist ähnlich zu der Version 1.3, allerdings kann die Konfig nicht übernommen werden.
– Der WAYF-Service heisst jetzt Discovery Service.

Das IDM-Projekt aus Passau stellte Herr Absmeier vor.
In Passau wird das IDM-System für eine überschaubare Anzahl an Diensten geplant:
– Ablösung der bisherigen Benutzerverwaltung (Gäste, Mitarbeiter, Studierende)
– Provisionierung von StudIP
– Provisionierung von Groupwise
– Bereitstellung eines IP für DFN-AAI

Es wird eine Kopplung der Datenbestände durch die Duplizierung der Schlüssel in die anderen Datenbanken angestrebt.

Der Aufbau des DIT wird flach sein, wobei statt eigener Objekte für Komplexe, mehrfach, unbestimmt oft vorhandene Objekte Auxiliary-Objektklassen verwendet werden. Es wird je einen Kontainer für Personen, Accounts, Gruppen und die Organisationsstruktur geben. Die Zuordnung wird über Zeiger realisiert.

Diapers wurde triggerless via JDBC direkt (über Views) angebunden. Die Telefondatenbank ist kurz vor fertigstellung. Der SSO-Server ist noch vor der Realisierung, die Implementierung des IP wird gerade begonnen. Die NDS-Anbindung wurde mit Unterstützung von Novell Consulting begonnen. Für Groupwise gilt das gleiche. Die Anbindung von StudIP ist noch in der Planungsphase. Das gleiche gilt für das Self Service Portal. Derzeit werden die Daten aus SOS noch über Access gewonnen. Eine bessere IDM-Anbindung soll erfolgen.

Frau Warren berichtete im Anschluss vom aktuellen Stand aus Würzburg.
An IDM angebunden sind SOS, VOIP, moodle und ein Adressbuch (LDAP) für E-Mail.
In Vorbereitung sind die Einführung des Universal Password (voraussetzung zur bidirektionalen Anbindung an IDM) und das ‘contextless login’. Eine Dienstvereinbarung und eine Erweiterung der Datenschutzfreigabe sind in Arbeit. Ebenso in Vorbereitung sind die NDS-Anbindung, ein Upgrade auf Shibboleth 2.0 und die Anbindung eines Zutrittskontrollsystems. Evaluiert werden der Access Manager und der Storage Manager von Novell. Man denkt hier inzwischen über ein zentrales Berechtigungskonzept nach.

Matching wurde nur rudimentär betrieben. Bei der Provisionierung von Multi-Value-Feldern im LDAP wird das erste gelieferte genommen. Die anderen Werte werden ignoriert.

Die Universität der Bundeswehr war das erste mal mit einer Präsentation im AK. Herr Dörfler stellte den aktuellen Stand vor.

Hier besteht eine Landschaft aus ca. 20 Datenbanken, die alle personenbezogene Daten halten. Nicht alle dürfen in ein IDM einfliessen, aber die meisten sollen in eine Zentrale DB integriert werden. Verwendet wird PostgreSQL. Das Projekt steht noch am Anfang.

Anschliessend berichtete Herr Zahn über die geplante Anbindung der ADS in Augsburg.

Für die TUM waren Her Pongratz und Herr Pluta beim AK. Herr Pongratz berichtete über die extrem sportlichen Fortschritte von TUM online. Die Zusammenarbeit mit der Uni Graz wurde sehr gelobt. Das Projekt ist von der Auslegung und der Schnelligkeit mit CIT vergleichbar. Leider wurde nicht transparent, wiviel Manpower hineingesteckt wurde.

Herr Pluta stellte die inzwischen dritte Version des IntegraTUM-Schemas vor. Offenbar vereinfachen sich viele Anforderungen an das Projekt durch die Verlagerung einiger Teilaufgaben auf das System aus Graz.

Die VHB war durch Herrn Mller vertreten. Er stellte das neue Portal vor, das im September in Betrieb gehen soll. Ebenso wurde eine Testanwendung für Shibboleth vorgestellt. Offenbar wird dieses Vorhaben jetzt vorangetrieben. Die VHB sucht Testpartner.

Nach den Präsentationen der AK-Mitglieder wurde über die Anbindung der Bibliotheken diskutiert. Es kursierte ein Schreiben aus Berlin, das für Verwirrung gesorgt hatte. Leider konnte keine abschliessende Klarheit geschaffen werden. Das RRZE kündigte an zu prüfen, ob die Bibliothek ohne SISIS-Konnektor via JDBC angebunden werden kann.

Das Thema VIVA beunruhigt die Kollegen aus dem AK. Es kursiert das Gerücht, dass Schnittstellen zu IDM-Systemen nicht vorgesehen sind. Augsburg ist ein Pilot-Kunde von VIVA. Herr Blaschek wird versuchen, mehr herauszufinden.

Termine:

ZKI in München, Termin steht noch nicht fest.
AK Meta-Dir in Würzburg am 18.02.09

IDM-Wochen-E-Mail KW 37

Während die Herren Singer und Rygus im wohlverdienten Urlaub weilten, konnte man diese Woche mit “Kampf mit den Systemen” beschreiben.

Es kam zu mehr oder minder unerklärlichen Systemausfällen, Seiteneffekten der Virtualisierung und Ungereimtheiten in der Software. Es wurde deutlich das der Punkt “Dokumentation” nicht umsonst im Risiko-Management berücksichtigt wird. Dokumentation kann man nie genug haben und wenn man sie braucht hat man die falsche!

Nicht unbeeinflusst davon hat Herr Tröger trotzdem sich an die Abnahme der fertigen Bestandteile gemacht. Mit der Auszubildenden Frau Löhlein konnte er das Matching überprüfen. Die beiden haben zu dem einen Weg gefunden, diese Überprüfung soweit in Algorithmen zu verpacken, dass daraus ein Tool werden kann. Zu beachten ist hierbei, dass zur Überprüfung andere Algorithmen zum Einsatz kommen als beim Matching selbst. Herr Tröger wird dies erstmal für die Konsole erstellen, denkt aber über eine Integration in WAID nach.

Außerdem ist Herr Tröger dabei den Data Linkage Gopher (DLG) – also das Tool, dass dazu dient, die Inkonsistenzen zwischen den Systemen manuell zu identifizieren – in WAID zu integrieren. Nach Abschluss wird dies zu einem ersten Anwendungsfall des neuen IDM werden. Doch dazu mehr in einem gesonderten Beitrag nach Abschluss der Arbeiten.

Und neben der Überarbeitung des Treibers für SSO hat er auch sich einiger Auffälligkeiten angenommen, die dabei zu Tage traten.

Und in der Tat liegt nun die Konfiguration des SSO-Dienstes in den letzten Zügen. Hierfür sind allerdings noch ein paar externe Dienste notwendig, die in der vergangenen Woche nicht abschließend von Herrn Eggers geprüft werden konnten. Mühsam nährt sich das Eichhörnchen …

Außerdem konnte er zusammen mit Herrn Löffler die Veröffentlichung von jidgen angehen. Eine Pressemitteilung folgt, wenn alle Teilaufgaben erledigt sind.

Herr Zhelev hat sich diese Woche hauptsächlich mit FAU.ORG und PPSA beschäftigt, worüber er zu gegebener Zeit im PP-Blog http://www.blogs.uni-erlangen.de/PP berichten wird.

Die Top-Punkte im Risiko-Management sind diese Woche:

  • manuelle Umschlüsselung wg. nix FAU.ORG
  • Überlastung einzelner Mitarbeiter vermeiden
  • Dokumentation
  • Dienstleistungsportfolio

In der angebrochenen Woche wird es heiß hergehen.
Am morgigen Dienstag kulminiert der Besprechungsmarathon, da die Anbindung der Quellsysteme sowie die schreibende Anbindung von SOS und damit auch “mein campus” endgültig besprochen und weitestgehend finalisiert werden soll. Der Rest der Woche steht dann unter dem Zeichen des Deloyments der fertigen Teile. Wir arbeiten mit aller Kraft auf den 08.10.08 zu!

Nachtrag Wochenbericht KW 36 – Projektplanung

Als Nachtrag zur Wochen-E-Mail KW 36 präsentiert dieser Eintrag, weitere Details zur aktuellen Projektplanung.

Abbildung 1 zeigt Abhängigkeiten der einzelnen Teilziele bis Release 2 untereinander. Die gewählte Darstellung ermöglicht Schlüsselziele leicht zu identifizieren. So ist Legacy Write (schreibende Anbindung der alten Benutzerverwaltung) ein entscheidender Punkt für Release 2, während z.B. Probleme bei NDS (NDS-Anbindung) keine weiteren Konsequenzen nach sich ziehen.

IDMone Abhängigkeiten der Teilziele bis Release 2.

Abbildung 2 zeigt die noch zu erledigenden Aufgaben bis Release 1. Nicht sichtbar, aber bereits einkalkuliert, sind die unterschiedlichen Arbeitszeiten (Urlaub, Teilzeit, …) der einzelnen Mitarbeiter.

IDMone Teilaufgaben bis Release 1.

Wochen-E-Mail KW 36

Die letzte Woche stand ganz im Zeichen des Projekt-Reviews und der Release-Planung.

Als derzeit relevante Planungsdaten sind schon mal folgende Termine zu kommunizieren:

08.10.2008 – R1 – Backend
Zu diesem Termin nimmt das IDMone Metadirectory seine Arbeit im Hintergrund auf. Es wird die Quellsysteme Personal- und Studierendenverwaltung anbinden und “mein campus” mit den Daten der Studierenden provisionieren. Für den Kunden ist hiervon allerdings nichts bemerkbar. Außer dass die Passworte der Studierenden in “mein campus” mit dem des RRZE-Kontos synchron laufen.

02.12.2008 – Ablösung GARFIELD
Ab diesem Termin wird IDMone auch für die Kunden sichtbar. Die alte Weboberfläche der Benutzerverwaltung GARFIELD wird durch WAID abgelöst. die alte Benutzerverwaltung wird allerdings noch geraume Zeit im Hintergrund arbeiten.

Allerdings müssen erstmal noch einige Aufwände abgeschätzt und einige Aufgaben noch im Haus diskutiert werden bevor sie kommuniziert werden können. Deshalb wird die detaillierte Planung spätestens bei der nächsten AG IDMone am 16.09.08 14 Uhr vorgestellt.

Und was war sonst noch?
Derzeit verstärkt Andrea Löhlein – Auszubildende zur Fachinformatikerin Systemintegration (FISI) – IDMone. Sie überprüft das Matching mittels Stichproben auf die korrekte Funktion. Hierzu hat sei unter Anleitung von Herrn Tröger ein Perl-Skript geschrieben und sich als echte Verstärkung erwiesen.

Herr Tröger hatte außerdem die Aufgabe die Besprechungsergebnisse – vor allem die Projektplanung aufzuarbeiten. Ihm sind die Übersicht und die Grafiken in diesem Wochenbericht zu verdanken.

An den Treibern war doch noch etwas Arbeit an den abnahmefertig geglaubten Treibern notwendig. Die schreibende Anbindung von SOS soll z.B. nun auch für die Provisionierung der Studierenden an “mein campus” genutzt werden. Hier musste Herr Dr. Rygus nochmal Hand anlegen. Außerdem hat er sich der Anbindung der aktuellen Benutzerverwaltung gewidmet. Eine erste Entwicklungsversion der schreibenden Anbindung liegt bereits vor. Die lesende Anbindung stellt das Projekt allerdings noch vor einige Probleme. Hier bedarf es noch einiger Unterstützung durch Herrn Büttner.

Auch eine Videokonferenz IDM@Bayern hat wieder stattgefunden. Ein Protokoll folgt.

Und Herr Zhelev hat sich wie oben bereits angedeutet ganz auf FAU.ORG konzentriert. Neuigkeiten zu FAU.ORG finden Sie zukünftig im P&P-Blog.
Er hat wiederverwendbare Artefakte identifiziert und so extrahiert, dass sie nun wirklich mehrfach verwendet werden können.

Herr Eggers hat wieder einmal mit der Konfiguration des SSO-Servers gekämpft. Leider war die Dokumentation sehr lückenhaft, was zu erheblicher Mehrarbeit geführt hat.

Als kleines Highlight hat Herr Florian Löffler den Zwischenstand seiner Studienarbeit “Entwicklung und Implementierung einer Visualisierungslösung für
LDAP Access Controls” vorgestellt.

Die Top-Risikien und offenen Punkte im Risiko-Management sind:
– manuelle Umschlüsselung wg. nix FAU.ORG
– Überlastung einzelner Mitarbeiter vermeiden
– Dokumentation
– Dienstleistungsportfolio

Herr Dr. Rygus wird sich in der nächsten Woche für den Endspurt erholen.
Herr Tröger wird die bisher entstandenen Module einem Review unterziehen während Herr Zhelev sich voll und ganz FAU.ORG widmet, damit es auch an dieser Baustelle weiter geht.

Und zum guten Schluss noch der Hinweis das die Stabsstelle wieder Verstärkung sucht. Wie immer finden sich die Ausschreibungen unter:
www.jobs.rrze.uni-erlangen.de

Wochen-E-Mail KW 35

Diese Woche konnte Herr Dr. Rygus einige Punkte auf dem Weg zum Produktivsystem fertig stellen.
Der UnivIS-Treiber ist entwickelt. Es fehlt noch an einigem organisatorischem Feintuning. Sprich auf Prozessebene stehen noch offene Punkte aus. Die Betroffenen werden zeitnah informiert. Die Treiber für SOS und DIAPERS laufen inkl. des Matching. Für die provisionierten Personen werden Kennungen generiert und sie werden in passende Gruppen einsortiert. Alle Treiber befinden sich jetzt gerade im abschließenden Test.

Hierbei wird Herr Dr. Rygus von Frau Löhlein unterstützt. Sie ist Auszubildende im 3. Lehrjahr zum Fachinformatikerin Systemintegration und macht bei IDMone “Station” für 3 Wochen.

Herr Singer hat die Test-Säule auch für öffentliche Test vorbereitet und die letzten Handgriffe i.S. Novell-Audit getätigt.
Von Systemseite ist damit alles für Test- und Produktivbetrieb startklar und er kann beruhigt in Urlaub gehen.

Ab dieser Woche begrüßen wir die Herren Tröger und Zhelev aus dem Urlaub zurück.
Am Dienstag wird es daher ein ganztägiges Projekttreffen geben, in dem das weitere Vorgehen erörtert wird. Außerdem wird auch das Risiko-Management aktualisiert. Dann sollte auch dieser Teil der Wochen-E-Mail wieder informativer ausfallen.

IDMone Wochenbericht KW 30-34

Schweigen im Wald bei IDMone!
Vier Wochen ohne Berichte – was ist da los?
Der September steht vor der Tür, wann sehen wir endlich etwas von IDMone?

Diese und anderen Fragen musste sich das Projekt in den vergangenen Wochen stellen. Nun im Folgenden die Antworten.

Die letzte Juli-Woche war geprägt von Schauen, Suchen Recherchieren und Vorbereiten. Hintergrund waren gleich mehrere Ereignisse, die nach- oder vorbereitet werden mussten.

Nachbereitung benötigte vor allem der Besuch des Novell Consultants, der leider ohne formelle Übergabe etwas abrupt endete. So musste Herr Dr. Rygus die erstellten Treiber mit der von Herrn Singer dazu notierten Dokumentation abgleichen und die Erfüllung des Feinkonzepts überprüfen. Eine Aufgabe, die fast volle 2 Wochen in Anspruch nahm und somit seine Arbeitszeit erheblich band.

Zudem musste Herr Dr.Rygus auch noch die turnusmäßige Sitzung des BRZL AK MetaDir in Augsburg vorbereiten. Ein Reisebericht hierzu steht zwar noch aus, folgt aber in Kürze.

Das “Großereignis” war aber die Präsentation des RRZE im Bayerischen Staatsministerium für Wissenschaft, Forschung und Kunst. Gegenstand war die Präsentation der Arbeit der Stabsstelle Projekte & Prozesse in Zusammenarbeit besonders mit der Abteilung Zentrale Systeme sowie der daraus entstehenden neuen Dienstleistungsangebote. Kurz zusammen gefasst traf der Termin auf positive Resonanz auf Seiten des Mnisteriums und das formulierte Angebot von Consulting-Leistungen seitens P&P scheint ernsthaft in Erwägung gezogen werden. Die Bewertung des vorgeschlagenen
Forschungsprojekts wird sicherlich längere Zeit in Anspruch nehmen. Die intensive Vorbereitung hat sich aber mehr als gelohnt.

Das leidige Thema Projektplanung ist schon länger ein heißes Eisen im Projekt. War es in der Vergangenheit immer wieder zu Unwägbarkeiten und spontanen Veränderungen gekommen, so hatte das eingesetzte Tool GanttProject
http://ganttproject.biz/ einfach noch Einschränkungen in der Usability, die sich hemmend auf die intensive und motivierte Verwendung auswirkten.

Ein kurzer Ausflug zu Microsoft Project 2003 Professional wurde bald abgebrochen. Probleme mit der Stabilität und der Usabilität brachten die Anwender “vom Regen in die Traufe”. Also begaben sich Herr Tröger und Herr Eggers auf die Suche nach einem neuen Tool, dass sowohl bedienbar als auch ausreichend flexibel ist.

Herr Tröger sucht nach Projektplanung? Ja! Auf Grund der Bindung der Arbeitskraft von Herrn Dr. Rygus bei der Implementierung und der Koordination mit Novell ist Arbeitsteilung an dieser Stelle notwendig gewesen. Herr Tröger hat zum einen das notwendige Interesse und zum anderen freie Kapazitäten so dass er sich der Aufgabe annehmen durfte.

Leider entsprachen die Lösungen am Markt nicht den Vorstellungen der Suchenden oder waren schlichtweg zu kostenintensiv. Deshalb wird derzeit TaskJuggler http://www.taskjuggler.org/ eine Chance gegeben. Das etwas andere Bedienkonzept ist zwar zu Beginn gewöhnungsbedürftig, kommt aber der Arbeitsweise im Projekt entgegen. Auch erfüllt es nicht die Kernanforderung plattform-übergreifenden Verfügbarkeit, aber dies wird durch einen Linux-Terminal-Server der Stabsstelle abgemildert. Insgesamt ist TaskJuggler noch in der Bewährungszeit. Wir werden sehen, wie es sich schlägt.

Und als kleines Schmankerl wurde das RRZETangoSet http://tango.freedesktop.org/RRZETangoSet veröffentlicht
http://www.rrze.uni-erlangen.de/news/meldungen/meldung.shtml/9747. Zitat: “Die von der RRZE-Mitarbeiterin Beate Kaspar entworfene Icon-Sammlung basiert auf dem Tango-Icon-Thema Freedesktop und ist speziell auf das Gebiet der Informationstechnologie, insbesondere der Benutzerverwaltung zugeschnitten. Die Sammlung enthält u.a. Icons für verschiedene Benutzertypen, für Serveranwendungen, Statusanzeigen und Klassifizierungen. Die Icons entstanden im Rahmen des RRZE Identity Management Projekts und finden dort v.a. in dem Web-Front-End Verwendung.”
Vielen Dank an dieser Stelle an Beate Kaspar, die das Projekt nun so gut aussehen läßt.

Und das wars? Mit nichten!

Kommen wir zu den eigentlich wichtigeren Kleinigkeiten:
Herr Dr. Hergenröder hat den Antrag auf Verlängerung des Projekts auf den Weg gebracht. Die Wünsche aus der Universität sind vielfach und es ist klar, dass IDMone bis zum Ende des Jahres nur Basisfunktionen bereitstellen kann. Ziel soll es nun sein, bis Ende 2011 den vollen Umfang des Fachkonzepts sowie die darüber hinaus entstandenen Wünsche zu realisieren.

Neue Anforderungen sind das Stichwort, das zu einer Konzeptverfeinerung führt. Die Arbeiten an der Systemanbindung ADS/NDS sowie die Arbeiten am Single-Sign-On machten Änderungen am der Konzeption notwendig, die Herr Dr. Rygus eingearbeitet hat.

Haben Sie da Single-Sign-On (SSO) gelesen? Ja sie haben!
Nach dem Herr Tröger vor seinem Urlaub noch einen Treiber für den SSO-LDAP-Server erstellt hat, arbeiten die Herren Singer und Eggers immer mal wieder an dem shibboleth Identity Provider (IdP). Der Dank gilt dabei den Kollegen von FAU-StudiumOnline und hier besonders Herrn Neumann, der mit seinen Anforderungen erst ermöglicht hat einen umfassenden Service zu konfigurieren.

Noch hakt es allerdings an den Tücken der neuen shibboleth Version, die nicht als installierbares Paket zusammen gestellt werden kann, da Informationen vom build-System fest einkompiliert werden. Ein Unding für ein Produktivsystem, aber das Problem sollte sich beheben lassen.

In Sachen Treiber ging es auch bei UnivIS und DIAPERS weiter. Ersterer wurde in einer ersten Version begutachtet und letzterer von Herrn Dr. Rygus fertig gestellt. Er harrt noch seiner Installation auf dem Produktivsystem. Aktuell steht nun der HIS SOS Treiber vor seiner Fertigstellung, was der Fall sein wird, wenn die Kollegen von der Fachanwendungsbetreung aus dem Urlaub zurück sind.

Auf der Seite der Systeme ist Herr Singer mit dem Aufbau der Produktivumgebung befasst. Viel kleinteilige Fleißarbeit seinerseits ist hier notwendig. Besonders aufwändig sind allerdings die Arbeiten am Backup. Das komplexe System nicht nur zu sichern sondern auch zeitnah wieder herzustellen ist eine harte Nuß, die er aber so langsam geknackt hat.

Das Projekt nähert sich also ernsthaft dem Produktivbetrieb. Stellt sich nur noch die Frage, ob vielleicht vorher auf die Version 3.6 des Novell Indentity Manager upgedated werden sollte, da diese nun für IDMone wesentliche Features offiziell unterstützt, die bisher nur im Rahmen des Consultings zum Einsatz kamen. Herr Singer prüft intensiv und schafft somit die Grundlage für eine abwägende Entscheidung.

Und außerdem ist er noch an nAudit dran. Hiermit soll ein Auditing implementiert werden, dass die Vorgänge im IDM transparent macht und Unterstützung bei der Fehlersuche bietet.

Herr Tröger und Herr Zhelev haben vor Ihrer Urlaubszeit letzte Hand an das Release 1 von WAID gelegt. Herr Zhelev hat die Dokumentation massiv erweitert und viele Teile des source-code mittels JavaDoc ausführlich annotiert. Dieses wird mit einem Release 2 von IDMone ausgeliefert werden können und bietet dann den Funktionsumfang der bisherigen Benutzerverwaltungsoberfläche Garfield. Nach Ihrem Urlaub werden sie ausgewählte Nutzer zu einem Betatest einladen.

Doch nicht der Fleißarbeit genug, so hat Herr Zelev in seiner Aufräumaktion noch weitere Baustellen beackert. Das Besprechungsprotokoll der Telefonkonferenz mit Novell vom 14.07.08 zur Nichtverwendung der Novell UserApp durch IDMone hat er nochmal gründlich durchgesehen. Im Zuge dessen hat er auch noch mal für den internen Gebrauch die Gründe dargelegt, warum die Workflow-Engine der UserApp in WAID nicht wieder verwendet wird.

Außerdem hat er drei kleinere Teilprojekte, in denen für bestimmte Zwecke source code entstanden ist, soweit voran getrieben, dass mindestens eines nach seinem Urlaub veröffentlicht werden kann. Worum es genau geht, darauf sei der geneigte Leser noch etwas gespannt. Nur soviel, gemäß den Unix-Motto “small powerfull tools” werden Probleme des IDM adressiert und auf elegante Weise gelöst.

Dabei konkurriert er mit unserer studentischen Hilfskraft Herrn Löffler um das nächste Release. Der programmiert nämlich einen universellen und plattformunabhängigen Generator von Benutzerkennungen. Das Rennen ist offen und es bleibt spannend.

Und nach Murphys Gesetz hat natürlich der Computer-Crash zugeschlagen. Die Notebooks der Herren Dr. Rygus und Eggers haben fast zeitgleich und rein betiebssystemseitig das zeitliche gesegnet. Dank der tatkräftigen und schnellen Hilfe der Kollegen von pcadmin und mehr als einer Personenwoche Arbeitszeit ist aber nun wieder Arbeitsfähigkeit hergestellt. In der Zwischenzeit haben die P&P-Terminalserver ihre Bewährungsprobe bestanden.

Zum 01. September werden Herr Tröger und Herr Zhelev aus dem Urlaub zurück kommen und das Projekt in seine heiße Phase vor dem Release 1 treten.

Vorsichtig und sehr optimistisch geplant ist mit einem Release 1 von IDMone in der letzten Septemberwoche zu rechnen.

In diesem Sinne …
… more to come …
… stay tunded!