RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Endspurt Runde 1

In der vorletzten Woche musste die Entwicklung der neuen Web-Applikation unterbrochen werden, da die Integration der Matching-Regeln in die vorhandene Treiberlogik anstand (mehr dazu siehe IDM-Wochen_E-Mail KW 19).

Diese Woche ging es dann mit neuem Elan an die “alte” Arbeit. Die etwas kürzere Woche wurde dazu genutzt viele Kleinigkeiten auf den Webseiten zu verbessern und damit die erste Version einiger Komponenten fertigzustellen. Neu hinzu kam die Berechtigungs-Seite, auf welcher der angemeldete Benutzer die ihm zugeteilten Accounts, Zugriffsrechte, etc. angezeigt werden.

Der bereits im letzten Beitrag erwähnte PDF-Generator wurde erfolgreich in mehrere Seiten integriert. Damit wurde auch der Grundstein für die Loginbrief-Komponente gelegt. Mit Hilfe dieser Funktion können die erforderlichen Loginbriefe erstellt und gedruckt werden.

An einer ganz anderen Stelle konnten erste Schritte in Richtung Datenmodifikation gemacht werden. Die User-DAO wurde um die ersten schreibenden Zugriffe erweitert. Um den Abschluss der Arbeiten voranzutreiben wurde jedoch auf die eine oder andere Luxuslösung verzichtet – KISS-Prinzip lässt grüßen.

Zum Abschluss der Woche wurden noch diverse Anpassungen vorgenommen um das lokal entwickelte Projekt auf einem Integrationsserver bereitstellen zu können. Im Gegensatz zu dem bei der Entwicklung verwendeten Jetty-Server, läuft die Anwendung auf dem Integrationserver, wie auch im späteren Betrieb, in einem JBoss Application Server. Durchgeführte Integration Tests rundeten dieses Paket ab.

 

Final Sprint Round 1

The week before last week the deployment of a new web application had to be interrupted, because the integration of the matching rule into the existing driver logik (see further IDM-Wochen_E-Mail KW 19).

This week was all about the “old” work. The slightly shorter week was used to improve many minor things on the website and therefore to complete the first version of some components. Newly added: entitlement page, where sign on users can view his assigned account, access rights, etc.

The allready in the last post mentioned PDF generator was successfully integreted to several pages. Therefore the foundation for the login-letter component was laid. With help of this function the needed login-letters can be created and printed.

On a different place the firts steps towards data modifications have been taken. The user-DAO were extended with first writing accesses. To push the the work to come to an end, one or the other luxury solution were left out of site – KISS-Prinzip says hello.

To the conclusion of this week various adjustments were made to be able to provide the local developed project on an integration server. In comparison the during the development used Jetty-Server the application runs on an integration server, as in the future use, on a JBoss Application Server. Realized integration tests round up the package.

 

IDM-Wochen_E-Mail KW 19

Diese Woche hat mal wieder gezeigt, dass es manchmal anders kommt, als man denkt.

Das Team von IDMone hat die Arbeiten am Web-Frontend kurz unterbrochen, um die Matching Rules, die im Zusammenhang mit der Bereinigung der Datenbestände erarbeitet wurden, in den Diapers-Treiber zu integrieren. Die dafür vorgesehenen Zeiten wurden zwar prinzipiell eingehalten, jedoch bremste ein Ausfall von eDirectory die Arbeiten, sodass wichtige Lasttests am Testsystem noch nicht durchgeführt werden konnten. Prinzipiell stehen jedoch die neuen Matching Rules im Diapers-Treiber zur Verfügung.

Der Ausfall der eDirectory-Datenbank ist bereits zum zweiten mal vorgekommen. Alle Versuche, die DB zu retten, sind fehlgeschlagen. Das Testsystem musste noch einmal neu aufgesetzt werden. Eine Usache konnte nicht gefunden werden, obwohl die letzten Aktionen auf die Datenbank nachgestellt wurden.

Seit heute hängt eine zweite eDirectory-Instanz als Replika auf der idm-sp-test im gleichen Tree, sodass der Ausfall einer DB schneller repariert werden kann.

Auf der idm-sp-test läuft auch bereits eine JBoss-Instanz, die über den Proxy-Server erreicht werden kann. Man kann dadurch kleinere Milestones in der Entwicklung des Web-Frontends einem breiteren Testerfeld zur Verfügung stellen.

Herr Zhelev arbeitete ausser an der Integration der Matching Rules auch an der PDF-Generierung von HTML mit CSS. Das Login-Brief-Template ist fertig.

Obwohl diese Woche viel Zeit für administrative und planerische Arbeiten benötigt wurde, konnte das Konzept für den Umgang mit Änderungen und Löschen im Meta-Directory überarbeitet werden. In der nächsten Woche wird es in die Treiber übernommen.

Das Schema wird derzeit noch überarbeitet. Hier gibt es leichte Verzögerungen. Dennoch soll es in der kommenden Woche in die Treiber übernommen werden.

Leider hängt die Implementierung der Shibboleth 2.0-Instanz noch an dem Zusammenspiel von Shibboleth mit JBoss. Hier konnten bisher leider auch die Spezialisten vom DFN nicht weiter helfen.

Nächste Woche wird das Schema fertig überarbeitet und die Matching-Rules nochmals getestet. Des weitern sollen die Treiber für SOS und Diapers vollumfänglich finalisiert werden. Das ist zwar sportlich, könnte aber klappen. Die Arbeiten am Web-Frontend werden auch wieder aufgenommen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Kurze Woche, kurzer Blog

Feiertag und Besprechungen machten die letzte Woche sehr kurz. Zwei Hauptbereiche wurden bearbeitet. Den ersten Bereich füllt der “PDF-Generator”. Stichpunkte wie, Html2PdfConvertor (FOP), CssConvertor und PdfPostprocessor (iText) sollen an dieser Stelle genügen. Der zweite Bereich umfasst die DAO-Schicht von Personen, Gruppen und Berechtigungen. Stichpunkte hier: AOP und Lazy Loading.

 

Short Week, Short Blog

Holiday and meetings made the last week a very short one. Two major areas have been worked on. The first area is the “PDF-Generator”. Bulletpoints like  Html2PdfConvertor (FOP), CssConvertor and PdfPostprocessor (iText) should be enough at this point. The second area concludes the DAO-layer of persons, groups and rights. Bulltepoints hier: AOP and Lazy Loading.

IDM-Wochen_E-Mail KW 18

Die vergangene Woche war zwar kurz, aber dennoch nicht ohne Fortschritt.

Im Rahmen der AG IDMone wurden Interessierte über den Stand der Dinge informiert. Einige Punkte wurden danach in die Projektplanung aufgenommen.

Den Status der Entwicklung des Web-Frontends wird Herr Tröger in einem eigenen Blog-Beitrag berichten.

Herr Singer dokumentierte die Audit-Arbeiten von letzter Woche. Der Apache für den IDMone-Proxy, der vor dem Web-Frontend stehen soll, kann nun mit jboss zusammen arbeiten. Die Installation von Shibboleth 2.0 mit jboss ist derzeit in Arbeit.

Die Präsentation der Firma Eurekify liess einige Fragen offen. Die Anbindung an die Novell-Produkte scheint noch sehr in den Kinderschuhen zu stecken. Erfahrung liegt offenbar noch nicht vor. Insgesamt kann die Software zwar sehr viel, aber der Teil, den wir benötigen, rechtfertigt weder den Aufwand für die Anbindung, noch die Software-Kosten. Wir werden das also auch selbst implementieren.

Das Admin-Konzept wurde überarbeitet und das Konzept für die Verwdendung von Rollen erstellt.

Nächste Woche wird das Schema überarbeitet und die Matching-Rules in den Diapers-Treiber übernommen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 17

Die vergangene Woche wurde genutzt, um den Projektplan auf den aktuellen Stand zu bringen. Es zeichnet sich ab, dass die Neuentwicklung des Web-Frontends den Termin für die Inbetriebnahme von IDMone etwas verzögert. Die Manpower, die in die Programmierung gesteckt werden muss, fehlt leider an anderer Stelle.

Nichts desto trotz wird weiter zielstrebig am Gesamtsystem gearbeitet.

Herr Tröger hat bereits einen Blog-Beitrag zu den Arbeiten am Web-Frontend veröffentlicht (http://www.blogs.uni-erlangen.de/IDM/stories/1653/). Dem ist nichts hinzuzufügen.

Herr Singer und Herr Rygus kümmerten sich um die Vorbereitung einer Demo der Firma Eurikify. Diese Firma wird am Mittwoch via Telefon, Chat und Webkonferenz-Tools ihre Software (Rollenmanagement) vorstellen.

Des weiteren war letzte Woche Novell Consulting im Haus um die Möglichkeiten von Novell Audit vorzustellen. Herr Singer und Herr Rygus wurden umfassend informiert und konnten die Quellsystemtreiber mit entsprechenden Regeln versorgen. Es gibt also bereits eine laufende Konfiguration, die gemäß den Regeln, die sich aus dem Dienstleistungsportfolio ergeben, angepasst und ergänzt werden können.

Ein Angebot für einen UnivIS-Treiber erfordert noch die Klärung einiger Fragestellungen mit Config. Ein grober Rahmen liegt allerdings vor.

Die Datenbereinigung ist leider noch nicht abgeschlossen, da die letzten Klärfälle offensichtlich überproportional viel Zeit erfordern. Es werden daher nur schnell zu bearbeitende Klärfälle beachtet. Der Rest wird in die Nachklärung durch das Ablaufdatum übertragen.

Diese Woche wird weiter an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und das Rollenmodell für Admins ein letztes Mal überdacht. In der AG IDMone wird der Stand der Dinge dargestellt und offen Punkte geklärt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Von Rollen, Passwörtern und Protokollierung

Die in der Woche zuvor begonnen Arbeiten der Challenge-Response-Anbindung an Novell’s eDirectory wurden weiter voran getrieben. Sowohl die äußere Form als auch die darunter liegenden Schichten wurden verbessert. Abzüge in Sachen Usability werden dennoch nicht ausbleiben, da die von Novell zur Verfügung gestellte Schnittstelle einige Beschränkungen aufweist.

Viel Arbeit wurde in die Passwortverwaltung gesteckt. Sichtbar für den Benutzer ist jedoch lediglich die Vereinheitlichung der Formulare, welche nun nach den aktuellen Vorgaben des Web-Baukastens aufgebaut sind. Unter der Oberfläche konnte die Authentifizierung mittels Challenge & Response, zum Zurücksetzen des eigenen Passworts, gegen das eDirectory erfolgreich implementiert werden.

Um eine Trennung zwischen Berechtigungsrollen und den Zugriff auf geschütze Ressourcen zu erreichen, wurde ein eigens dafür angefertigter “ProofOfAuthority-Service” eingeführt. Dadurch können Änderungen an den Rollen und deren Berechtigungen an einer zentralen Stelle vollzogen werden. Die Verbindung von Spring Security 2.0 (veröffentlicht am 15.04.2008) und Tapestry 5 wurde über eine generische “Access Denied”-Seite weiter verbessert.

Durch den Besuch von Norbert Klasen (Novell) konnte mit der Anbindung des IDM-Service-Portals an das Novell Audit System begonnen werden. Dabei findet das Nsure Audit SDK von Novell Verewendung. Angestrebt wird die Implementierung eines sog. Apache log4j “Appenders”. Wichtige Aktionen der Benutzer (z.B. das Zurücksetzen des Passworts) können dadurch IDMone-einheitlich protokolliert werden.

Zuletzt wurde mit einer der letzten im ersten Release geplanten Funktionen begonnen: den Aktivierungsseiten. Diese Seiten enthalten die erforderlichen Schritte zum Aktivieren eines IDMone-Accounts; also Akzeptieren der Benutzerrichtlinien und setzen des eigenen Passworts.

Of Roles, Passwords and Logging

In the last week the work on a challenge-response-connection to Novell’s eDirectory was pushed forward. Both the outside appearance and the layers below have been improved. Drawbacks in usability won’t be avoidable, because the connection provided by Novell shows some limitations.

A lot of work was put in the password management. Visible for the user however is the unification of forms which are build with current standards of the web model kit. Under the surface the authentification could be successfully implemented via challenge & response, to put back the password, against eDirectory.

To achieve the division between entitlement roles and access to safe resources, a special for this case developed “ProofOfAuthority-Service” was introduced. So changes within roles and their rights can be made at a central point. The connection of Spring Security 2.0 (published 15.04.2008) and Tapestry 5 was further improved with a generic “Access Denied” page.

Due to the try of Norbert Klasen (Novell), the connection of the IDM-Service-Portal with the Novell Audit System started. Therefore Novell’s Nsure Audit SDK is used. The intended aim is the implementation of a so called  Apache log4j “Appenders”. Important actions of users (e.g. to set back the password) can therefore be protocoled IDMone consistent.

Finally one of the latest planned functions for the first release started: the activation pages. These pages contain the needed steps to activate an IDMone account; also to accept the user guidelines and to set a new password.

Kleinvieh macht auch Mist

In der letzten Woche gab es in der Entwicklung des alternativen IDM-Service-Portals keine größeren Schritte zu verzeichnen. Dafür konnten gleich mehrere kleine, aber dennoch wichtige, (Teil-)Schritte abgeschlossen werden.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

 

A Penny saved is a Penny got

In the last week there haven’t been bigger developments of the alternative IDM-Service-Portal. Therefore several smaller, but yet important steps have been solved.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

IDM-Wochen_E-Mail KW 16

Nachdem alle Teammitglieder wieder aus dem Urlaub zurück sind, wird derzeit die Projektplanung unter Berücksichtigung der Fehlzeiten überarbeitet.

Die Datenbereinigung ist durch den Einsatz einiger studentischer Hilfskräfte inzwischen soweit vorangeschritten, dass nur noch ca. 200 Klärfälle behandelt werden müssen. Herr Büttner wird sich darum kümmern.

Der Datenbestand, der nicht zu Personen aus den Quellsystemen SOS und Diapers zugeordnet werden konnte, wird als Neuanlage unter Sonstigen bzw. Gästen eingepflegt. Diese Einträge erhalten ein Ablaufdatum, um passive Einträge eliminieren zu können. Spätestens bei der Rückmeldung der aktiven Gäste kann noch einmal überprüft werden, ob man die Einträge einer bereits vorhandenen Person zuordnen kann.

Die Listen mit fehlerhaften oder nicht eindeutigen Einträgen in den Quellsystemen sind bei den Fachanwendern und werden bearbeitet, sodass die Datenbasis weiter verbessert wird.

Die Arbeiten am Web-Frontend gehen gut voran. Herr Tröger wird dazu einen Artikel für den Blog schreiben.

Herr Singer beschäftigte sich mit der Dokumentation im Wiki und erzeugte ein JBoss-rpm.

Herr Rygus kümmert sich um nötige Anpassungen der Treiber und die endgültige Definition der führenden Systeme pro Attribut. Er vertrat auch das RRZE bei der Vidokonferenz der IDM-interessierten Rechenzentren in Bayern.

Die Anbindung von UnivIS scheitert im Moment an der fehlenden Manpower. Hier denkt IDMone daran, die Entwicklung des nötigen Treibers an Novell Consulting zu vergeben.

Nächste Woche wird an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und die Treiber mit den Regeln zur Berücksichtigung der führenden Systeme pro Attribut versehen. Novell Consulting wird vor Ort Audit einführen und die UnivIS-API sichten, um ein Angebot für die Treiberentwicklung stellen zu können.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Brainshare 2008 – Part two

In der Zeit vom 17.03. – 21.03.2008 besuchten Herr Rygus und Herr Singer die Hausmesse ?Brainshare? der Firma Novell in Salt Lake City.
Die Messe bot einen Überblick über Neuerungen bestehender Produkte und die Präsentation von Neuentwicklungen.

Herr Singer besuchte folgende Veranstaltungen:

Mo 08:00 ? General Session: Brainshare Kick Off
Mo 12:00 ? Accelerating Your Novell Identity Manager Deployments
Mo 13:30 ? The Future of Linux
Mo 15:00 ? Virtualization and Its Impact on Interoperability between Windows and Linux
Mo 16:30 ? Securing Your Systems with AppArmor

Di 08:30 ? Fault-tolerant Computing with Linux High Availability
Di 10:00 ? Troubleshooting Novell Identity Manager 3.5.x
Di 11:30 ? High Availability and Cluster Solutions for Linux and Windows
Di 13:00 ? Novell Sentinel Collector Development: Beyond Basic Parsing
Di 14:30 ? Optimizing SUSE Linux Enterprise Server File Systems for Maximum Performance

Mi 08:00 ? General Session: Open Platform Solutions Demos
Mi 12:00 ? Event Handling in Workflow Forms with Novell Identity Manager 3.6
Mi 15:00 ? Novell eDirectory 8.8: Advanced Configuration
Mi 16:30 ? Penetration Testing and Protecting Networks Using Novell AppArmor

Do 08:30 ? Advanced Linux BASH Course
Do 11:30 ? Thin Linux – The Benefits of Linux Thin Clients and Terminal Services
Do 13:15 ? Security@Novell: An Overview of Security in SUSE Linux Enterprise Server
Do 14:30 ? Using Novell Sentinel to Understand your Identity Events

Fr 08:00 ? Benchmark Testing for SUSE Linux Enterprise Server and Clustering
Fr 09:30 ? Options for Integrating Novell Identity Manager With Linux and UNIX Systems
Fr 11:00 ? Novell Sentinel Solution Packs

Vor allem durch die Sessions zur Virtualisierung von Systemen, Optimierung von Filesystemen oder Tuningtipps rund um das eDirectory wurde viel Wissen vermittelt, welches im Arbeitsalltag seine praktische Anwendung finden wird.

Neben den Vorträgen fand auch reger Austausch mit Mitarbeitern der Firma Novell und deren Partner, sowie den anderen Besuchern der ?Brainshare? statt.
Unter anderem wurde dabei auf die Auswirkungen eines Restores, der Daten des Meta-Directory, auf die provisionierten Zielsysteme hingewiesen. Das System sieht die zurückgesicherten Daten als neue Personen an. Dadurch werden in den Zielsystemen neue Benutzer mit einer neuen ID erstellt, welche somit nicht mehr auf ihre bestehenden Daten (Home, …) zugreifen können.

Ein weiterer Punkt das Betriebssystem SuSE Linux Enterprise Server 11. Dazu konnten leider noch keine näheren Details gegeben werden außer, dass es neue Features im Bereich Virtualisierung, Hochverfügbarkeit oder Interoperabilität geben wird.

Allgemein zusammenfassend war der Besuch der ?Brainshare? sehr lohnenswert. Das neuerlangte Wissen und die geknüpften Kontakte sind für den weiteren Projektablauf äußerst wichtig. Die vorgetragenen Wünsche an die Entwickler wurden offen entgegengenommen und werden an die Verantwortlichen weitergegeben.
Die Chance mit den Entwicklern direkt kommunizieren zu können und somit wichtige Informationen zu erlangen sollte man auch in Zukunft wahrnehmen.

Brainshare 2008

Dieses Jahr besuchten zwei Mitarbeiter des RRZE, Herr Singer und Herr Dr. Rygus die Brainshare der Firma Novell in Salt Lake City (16.03.08-21.03.08). Der Fokus lag auf den Produkten IDM, SUSE und den damit verbundenen Themen.

Die Veranstaltung war wieder einmal perfekt organisiert. Als neuer IDM-Chef wurde Jim Ebzery vorgestellt. SAP ist als Hauptsponsor und Partner von Novell sehr stark aufgetreten. Die Brainshare hatte mehrere Hauptthemen, wobei Teaming + Conferencing und das Roles Based Module am nähesten an den Themenschwerpunkten von IDMone lagen.

Viel Neues an der IDM-Applikation selbst ist aus IDM-Sicht nicht vorgetragen worden. Man will eine Art Echtzeit-Verhalten erreichen, damit man sich nicht so viele Gedanken um die nicht möglichen Transaktionen machen muss. Des weiteren hat man erkannt, dass man in einem grösseren Projekt schnell mal die Übersicht verlieren kann. Deshalb soll ein grösseres Augenmerk auf das Policy-Management gelegt werden. Einen weiteren Schwerpunkt stellt ‘governance and compliance’ dar. Hier will man sich offenbar gegen alles absichern, was an juristischem Unbill auf einen zukommen kann.

Derzeit gibt es Verbesserungen am Designer, iManager und an der User Application. Das Roles Based Module wurde als das neue goldene Ei vorgestellt.

Künftig (ab Sommer diesen Jahres) soll es noch weitere, ganz nette Features geben:

– Designer:
– er soll einen Team Editor bekommen und Dokumentenverwaltung via svn unterstützen.
– Im Resource-Kit gibt es eine ‘state machine’, mit der man die Reihenfolge sequenziell auszuführender Schritte festlegen kann. IDMone wird das testen.

– iManager:
– Parallelansicht von Treiberübersicht und Details
– Überwachungs-Features (Cache, Status, driver health, …)

– Nested Groups werden künftig voll unterstützt

Als Software Enhancement wurde aufgenommen, dass man künftig (wann wurde nicht gesagt) feststellen und verarbeiten kann, woher ein Event kommt (cache oder direkt). Das kann im Moment zu Fehlern führen.

Zum Thema Rollenmanagement gab es eine sehr gute Präsentation der Firma Eurekify (http:www.eurekify.com). Sie kann offenbar ein gut ausgewogenes Rollen-Management mit Role-Mining, um immer wieder Herr der Lage zu werden. Leider ist die Anbindung noch sehr dürftig. Auf Anfrage wurde eine Anbindung via Treiber in Aussicht gestellt. Derzeit muss man über einen CSV-Treiber kommunizieren. Novell unterstützt diesen Partner und will laut eigener Aussage kein Konkurenzprodukt schaffen. Wenn man das Roles Based Module sinnvoll einsetzen möchte, wird man also um Eurekify nicht herum kommen.

Das Thema Datenanalyse soll der Analyzer oder Enforcer (gleiches Tool, zwei Namen) erleichtern. Leider kann der nicht einmal annähernd das, was von IDMone in sehr viel kürzerer Zeit entwickelt wurde. Bis dieses Tool einsetzbar wird, ist noch viel Arbeit nötig.

Mitarbeiter der Firma Novacost (Novell-Partner) stellten ein paar nette Tools vor, mit denen man Sicherheitslücken aufspüren kann. Mehr gibt’s auf deren Webseite (http://www.novacost.com).

Neue, ungeahnte Probleme zeigte eine Präsentation der Firma Blackbird auf. Offenbar gibt es bei einer IDM-Lösung durchaus andere Problematiken zu berücksichtigen, als beim normalen Backup. Nachdem ein Eintrag versehentlich gelöscht wurde, kann er nicht unbedingt bedenkenlos restauriert werden, da sich in einigen Zielsystemen die interne ID ändert und verbundene Objekte (Homes, Profile, …) ohne Zuordnung verbleiben. Das kann offenbar die Software DeTroubler von Blackbird beheben. Wiederum hat sich Novell dazu bekannt, kein Konkurenzprodukt zu entwickeln. IDMone wird sich das ansehen.

Im Techlab konnte Herr Rygus ausgiebig mit den Entwicklern diskutieren. Leider ergab die Diskussion mit den Entwicklern der User Application, dass diese Anwendung die Anforderungen von IDMone derzeit nicht erfüllt. Deshalb bleibt es in Erlangen beim Entschluss der Neuentwicklung eines Web-Frontends. Die sehr rege Diskussion in einer ‘best practices’ Session hat eindeutig gezeigt, dass es recht viele Kollegen auch in USA gibt, die ähnliche Probleme mit der User Application haben, wie IDMone. Langfristig (!) kann sich hier also durchaus noch etwas verbessern.

eDirectory soll künftig, wie bei OpenLDAP, auch Rechte für Mitglieder einer Gruppe auf Mitglieder einer Gruppe verarbeiten können. Diese Anforderung kam nicht nur aus Erlangen.

Der Sentinel als Ablösung von Audit konnte nur bedingt empfohlen werden, da er zu mächtig ist. Hier will man eine abgespeckte Lösung anbieten. Wann konnte nicht gesagt werden. IDMone wird vorerst mit Novell Audit beginnen.

Ein interessantes Tool scheint der Access Manager zu sein. Damit kann man u.a. SSO und Föderation für die gesamte Novell-Palette zzgl. Web-Anwendungen anbieten, und mit Shibboleth koppeln. So kann man einen Schritt weiter gehen, als nur mit Web-SSO.

Herr Singer wird einen ergänzenden Reisebericht im Blog veröffentlichen.