http://www.tu-ilmenau.de

Logo TU Ilmenau


Ansprechpartner

Jörg Deutschmann

Telefon +49 3677 69-2649

E-Mail senden

Ihre Position

INHALTE

Einführung und Motivation

Das effiziente Management der Hochschulressourcen stellt mit der zunehmenden Eigenständigkeit der Thüringer Hochschulen eine große Herausforderung dar. Bei den Ressourcen handelt es sich vor allem um Personen, die an Forschung, Lehre und Verwaltung beteiligt sind, aber auch um Betriebsmittel, wie Gebäude, Räume und Geräte. Von strategischer Bedeutung ist in diesem Zusammenhang die Integration bereichsübergreifender Funktionen der zentralen Verwaltung mit den Verwaltungseinheiten der Fakultäten und Fachbereiche. An dieser Schnittstelle zwischen Lehre und Forschung sowie der Hochschulverwaltung setzt das Projekt Metadirectory an. Zukünftige Entwicklungen im Bereich der zentralen und akademischen Verwaltung werden auch im Hinblick auf weitere personelle Einsparungen durch zunehmende Integration erst möglich. Das Paradigma des Metadirectory besitzt das notwendige Potential, indem es mit einem integrierenden Verzeichnisdienst die hochschulweite Verwaltung der digitalen Identität von Personen, das sogenannte Identity Management, sicherstellt. Synchronisationsmechanismen zwischen den Datenbanken der zentralen Verwaltung und dem Verzeichnis automatisieren Massenvorgänge, wie zum Beispiel das Einrichten neu immatrikulierter Studierender als Benutzer der IT-Infrastruktur innerhalb der Hochschule. Dieser Vorgang des Provisioning verlangt auch wegen dem Einsatz multifunktionaler Chipkarten und einer Public Key Infrastruktur nach einem Verzeichnisdienst mit konsolidierten Benutzerdaten. Der offene Standard Lightweight Directory Access Protocol (LDAP) und seine breite Unterstützung durch die Hersteller ermöglichen die Bereitstellung einer integrierten Quelle zur Authentifizierung der Benutzer und der rollenbasierten Verwaltung ihrer Rechte und Privilegien.

Grundsätzliche Anforderungen und Systemkonzept

Aufgrund der strategischen Bedeutung und des integrierenden Charakters eines Metadirectory müssen für den Erfolg des Projekts und im Sinne des Investitionsschutzes einige grundsätzliche Anforderungen formuliert werden. Hierzu zählen vor allem Leistungsfähigkeit, Skalierbarkeit, Erweiterbarkeit, Offenheit, Sicherheit und Plattformunabhängigkeit. Diese Eigenschaften sind durch einen entsprechenden Software-Entwurf, den Einsatz geeigneter Technologien und die Verwendung von Standards sicherzustellen.
Die Einführung eines Metadirectory geht mit einer gründlichen Analyse der Geschäftsprozesse einher und wird damit zu einem umfangreichen Projekt. Die Vorgehensweise orientiert sich am allgemeinen Software-Entwicklungsprozess. Eine detaillierte Aufstellung der einzelnen Projektphasen unter Berücksichtigung der Besonderheiten eines Metadirectory erfolgte zu Beginn des Projekts. Die Einführung eines Metadirectory lässt einen kontinuierlichen Prozess der Weiterentwicklung erwarten. Hierunter fallen die Anpassungen an sich verändernde Bedingungen, wie zum Beispiel neue Software-Releases der integrierten Applikationen oder neu definierte Arbeitsprozesse. Es ist zu beobachten, dass ein vielfacher Wunsch nach Integration von Anwendungen existiert, was in Abstimmung mit den beteiligten Projektpartnern zum erneuten Durchlaufen der einzelnen Projektphasen führen kann.

Szenario für den Einsatz eines Metadirectory

Die Datenbanken der Hochschulverwaltung und der Bibliothek sind Datenquellen für das Metadirectory. Über die entsprechenden Synchronisationsmechanismen werden lediglich die für das Identity Management und die Anwendungen des Metadirectory benötigten Daten übernommen. Dabei steht HISSVA für die notwendigen Mitarbeiterdaten, HISSOS für die notwendigen Studierendendaten und PICA für die notwendigen Daten der Bibliotheksbenutzer. Eine zusätzliche Datenbank als Organisationssystem für andere Personen, THUAPOS, dient der Aufnahme von notwendigen Personendaten, die nicht aus den anderen Datenbanken gewonnen werden können, wie zum Beispiel für Gäste der Universität.
Eine wichtige Anwendung des Metadirectory ist der Bereich der Authentisierung, Autorisierung und Zugriffskontrolle. LDAP-fähige Internetportale ermöglichen eine Anmeldung von Benutzern und die Zuteilung von Rechten mit Hilfe von Verzeichnisdiensten, die ein so genanntes Authentisierungs- und Autorisierungssystem bilden. Auch die Anmeldung im Virtual Private Network (VPN) einer Hochschule erfolgt über den Authentisierungsservice. Das Authentisierungs- und Autorisierungssystem erhält die notwendigen Benutzerdaten über einen Konnektor vom Metadirectory und wird damit zu einer Datensenke.
Provisioning an einer Hochschule bedeutet, allen Studierenden, Mitarbeitern und Bibliotheksbenutzern die für ihre rechnergestützte Arbeit notwendigen Ressourcen zur Verfügung zu stellen. Hier existieren aufwendige Routinetätigkeiten bei der Benutzeradministration. Die Benutzeradministration umfasst beispielsweise das Einrichten der Mailbox verbunden mit der Vergabe einer E-Mail-Adresse sowie die Eintragung als Benutzer in den betriebssystemorientierten Verzeichnissen der Rechnerpools sowohl zentral im Rechenzentrum als auch dezentral in den Fakultäten und Fachgebieten. Die Arbeit der Administratoren erfährt durch Standardkonnektoren des Metadirectory zu den betriebssystemorientierten Verzeichnissen, wie Microsoft Active Directory (AD) für Windows, Novell Directory Services (NDS) für verschiedene Betriebssysteme oder das Network Information System (NIS) für Unix, eine wesentliche Unterstützung. Die betriebssystemorientierten Verzeichnisse AD, NDS und NIS treten als Datensenken in diesem Szenario auf, wobei die Autonomie der administrativen Bereich in den Fakultäten gewährleistet ist. Ein Abgleich der Daten mit dem Metadirectory findet nur bei Bedarf statt.
Zu den klassischen Aufgaben von Verzeichnisdiensten zählen elektronische Adress- und Telefonbücher. Im Zusammenhang mit dem E-Mail-System wird die universitätsinterne Abfrage von E-Mail-Adressen angeboten. Der Verzeichnisdienst des E-Mail-Systems ist eine Datensenke des Metadirectory. Ein universitätsinternes elektronisches Telefonbuch setzt aktuelle Daten aus dem Bestand der Telekommunikationsanlage (TK-Anlage) voraus.
Verzeichnisdienste spielen auch eine wichtige Rolle beim Aufbau einer Public Key Infrastructure (PKI) für Anwendungen mit erhöhten Sicherheitsbedürfnissen, beispielsweise bei der elektronischen Prüfungsverwaltung. Eine PKI ist die Voraussetzung für den Übergang von der Authentisierung durch Benutzername/Passwort zur zertifikatsbasierten Anmeldung, für das Signieren von Dokumenten und E-Mails sowie für die Verschlüsselung. Die Hochschule benötigt für den Aufbau einer PKI eine vertrauenswürdige Zertifizierungsinstanz, welche die Identität der zu registrierenden Benutzer beglaubigt. Die organisatorischen Abläufe zur Erstellung und Verwaltung von Zertifikaten können durch das Metadirectory unterstützt werden. Die notwendigen Daten zur Zertifizierung hält das Metadirectory vor und ein Konnektor zum Zertifizierungsserver generiert eine Zertifizierungsanforderung. Bei erfolgreicher Zertifizierung gibt der Zertifizierungsserver das digitale Zertifikat an das Metadirectory zurück.

Datenschutz und Datensicherheit

Wissenschaft und Verwaltung teilen sich mittlerweile an fast allen Hochschulen ein Rechnernetz, d.h. rechnergestützte Verwaltungsprozesse laufen auf dem selben Netz wie Forschung und Lehre. Dabei stellt der Teil des Verwaltungsnetzes einen Bereich erhöhten Sicherheitsniveaus dar, was so auch für das Metadirectory gelten muss. Im Ergebnis der Konsultation von Vertretern der Thüringer Landesdatenschutzbeauftragten sowie der Verantwortlichen für die Rechnersicherheit an den Hochschulen entstand ein Grundsatzdokument für das Sicherheitskonzept des Metadirectory. Durch die aktive Mitarbeit der Datenschutzbeauftragten konnte im Sinne eines konstruktiven Datenschutzes dieser in einer frühen Phase berücksichtigt werden. Für den Datenschutz und das Sicherheitskonzept gelten die folgenden Kernaussagen. In das Metadirectory werden nur so viel Daten wie nötig und so wenig wie möglich aufgenommen. Benutzer erhalten keinen direkten Zugriff auf das Metadirectory. So wird zum Beispiel die Authentisierung als Anwendung über einen Authentisierungsserver sichergestellt, der Daten über einen Konnektor aus dem Metadirectory bezieht. Alle Konnektoren benutzen verschlüsselte Verbindungen. Der Metadirectory-Server befindet sich in einem dafür vorgesehenen Server-Netz, das durch geeignete Maßnahmen vor dem Zugriff aus dem Intranet und Internet geschützt ist. Das Sicherheitskonzept des Metadirectory geht als Bestandteil in die Arbeit einer Thüringenweiten Arbeitsgruppe zum Thema Sicherheit mit ein. Auch beim Hardwarekonzept wurden die Festlegungen des Sicherheitskonzepts und die Aussagen der Datenschutzbeauftragten berücksichtigt.

Grundsätze zum Sicherheitskonzept

Benutzer haben keinen direkten Zugriff auf das Metadirectory. Benutzer, die als Identitäten im Meta Directory verwaltet werden, können sich nicht direkt am Metadirectory anmelden, um lesenden oder schreibenden Zugriff zu erlangen.
Im Metadirectory werden Benutzer als so genannte funktionsbezogene Benutzer, zum Beispiel für den Zugriff der Konnektoren, verwaltet. Diese funktionsbezogenen Benutzer stellen keine zu verwaltenden Personen im herkömmlichen Sinne dar. Nur funktionsbezogene Benutzer greifen direkt auf das Metadirectory zu. Die Art und Weise des Zugriffs dieser funktionsbezogenen Benutzer wird vorgegeben. Abhängig vom ausgewählten Produkt ist sicherzustellen, dass nur die projektierten Klienten Zugriff auf den Server haben. Für die einzelnen Funktionen werden Sichten definiert und damit festgelegt, welche Einträge und Attribute der funktionsbezogene Benutzer lesen bzw. schreiben darf.
Die personenbezogenen Daten zur Identifizierung, wie zum Beispiel das Geburtsdatum, dürfen nach außen nicht sichtbar sein und nur bei Notwendigkeit der Identifizierung ausgewertet werden.
Die Aufgabe des Metadirectory besteht unter anderem darin, applikationsspezifische Daten über Konnektoren zur Verfügung zu stellen bzw. zu generieren. Dies wird als Metadirectory-Applikation bezeichnet. Keine Applikation erhält direkten Zugriff, d.h. ohne Konnektor, auf das Metadirectory. So wird zum Beispiel die Authentisierung als Anwendung über ein Authentisierungssystem sichergestellt, das Daten über einen Konnektor aus dem Metadirectory bezieht.
Die Verbindung zwischen entfernten Konnektoren auf anderen Rechnern und dem Metadirectory wird vorzugsweise durch TLS mit Klientenzertifizierung durchgeführt. Nur wenn das eingesetzte Produkt dieses nicht unterstützt kann stattdessen eine Paketfilterung auf der Basis von IP-Adressen und Ports eingesetzt werden. Diese Variante bietet aber ein deutlich niedrigeres Schutzniveau.
Zur Verringerung der Angriffsfläche, zum Beispiel verursacht durch Schwachstellen auf dem System, wird der Einsatz eines Paketfilters, gegebenenfalls in Form einer Software-Firewall, empfohlen.
Der Metadirectory-Server befindet sich in einem dafür vorgesehenen Server-Netz und teilt sich ein Subnetz mit anderen vertrauenswürdigen Rechnern. Dieses Server-Netz sollte durch geeignete Maßnahmen vor unerwünschtem Zugriff aus dem Internet geschützt sein.

Verzeichnisbaum und Datenstrukturen des Metadirectory

Struktur des Verzeichnisbaums

Der Verzeichnisbaum muss den Anforderungen der Thüringer Hochschulen entsprechen und soll es ermöglichen, alle relevanten Informationen bezüglich der verwendeten Objektklassen und ihrer Attribute aufzunehmen.
Die verwendeten Container orientieren sich am X.500-Standard. Die Namensgebung für die Container erfolgt ausschließlich in Englisch, wie zum Beispiel ou=person.
Im Projekt Meta Directory wird ein funktionell orientierter Ansatz verfolgt, der zu einer sehr flachen Verzeichnisstruktur führt. Die Aufteilung in Teilbäume erfolgt nach funktionalen statt organisatorischen Gesichtspunkten.
Im Teilbaum ou=person sind alle Personen gespeichert, die Studierende, Mitarbeiter, Angehörige usw. an der jeweiligen Hochschule sind. Es wird in der Verzeichnisstruktur nicht unterschieden, welcher Fakultät eine Person angehört. Diese Informationen sind in Attributen der Benutzereinträge und den Rollen dokumentiert. Wechselt zum Beispiel ein Studierender den Studiengang oder die Fakultät, so sind lediglich die entsprechenden Attributwerte der Rollen zu verändern. Der eindeutige Name des Benutzers und seine Position im Verzeichnisbaum bleiben konstant, wodurch Änderungen von Verweisen auf den Benutzer vermieden werden. Falls ein Studierender mehreren Studiengängen zugeordnet ist, so werden für beide Studiengänge Rollenobjekte aufgenommen. Ein Zuordnungskonflikt zu einem Teilbaum der Studierenden einer Fakultät besteht dadurch nicht. Falls ein Mitarbeiter neben seiner Tätigkeit ein Studium an der Universität aufgenommen hat, so ist auch dies leicht über ein weiteres Rollenobjekt abbildbar.
Die im obigen Abschnitt bereits angesprochenen Rollen werden in einem Container ou=role gespeichert.
Es wird einen weiteren Container ou=service geben, der zum Beispiel zur Verwaltung der funktionalen Benutzer dient.

Schema des Meta Directory

Der Entwurf des Verzeichnisschemas im Projekt Metadirectory orientiert sich an den Standards X.500 und LDAP. Weitere Einflüsse ergeben sich durch die Projekte Internet2 Middleware Architecture Committee Directory Working Group (MACE-Dir), West Australian Libraries Authentication Project (WALAP) und Definition of an European EduPerson (DEEP).

Die Objektklasse thuEduPerson (Thuringian Educational Person) sichert als projektbezogene Erweiterung des Standards die Austauschbarkeit von personenbezogenen Verzeichnisinformationen zwischen den Thüringer Hochschulen und unterstützt somit deren Zusammenarbeit. Außerdem wird die Portabilität von Softwarelösungen zwischen den Thüringer Hochschulen gefördert. Die Objektklasse thuEduPerson enthält Attribute zur eindeutigen Identifizierung von Personen und perso-nenbezogene Attribute. Es handelt sich um eine zusätzliche Objektklasse vom Typ AUXILIARY. Damit nimmt sie keinen Einfluss auf die Struktur des Verzeichnisbaums. Alle Attribute der Objektklasse thuEduPerson sind optional.
Einträge zu Personen im Verzeichnis einer Thüringer Hochschule werden weiterhin die Objektklassen person (X.521), organizationalPerson (X.521), inetOrgPerson (RFC 2798) und eduPerson (MACE-Dir) beinhalten.

Rollen dienen der Abbildung von semantischen Zusammenhängen im Metadirectory, wie zum Beispiel der Zuordnung des Studiengangs zum entsprechenden Fachsemester eines Studierenden. thuEduRole ist eine zusätzliche Objektklasse vom Typ AUXILIARY. Damit nimmt sie keinen Einfluss auf die Struktur des Verzeichnisbaums. Alle Attribute der Objektklasse thuEduRole sind optional. Einträge zu Rollen im Verzeichnis einer Thüringer Hochschule werden weiterhin die Objektklasse organizationalRole (X.521) beinhalten.