Post on 07-Feb-2018
Wegweiser durch die TU Berlin Verzeichnisse
(Update) tubIT - Stammtisch, 15. Januar 2009
Thomas HildmannIT Dienstleistungszentrum der TU Berlin
TU Berlin
T. Hildmann tubIT – Stammtisch 2009
Vorbemerkung
Rufbereitschaft aus persönlichen Gründen
T. Hildmann tubIT – Stammtisch 2009
Vorbemerkungen
• Verständnisfragen bitte unmittelbar stellen!
• Im Idealfall bleibt am Ende Zeit für eine Diskussion.
• Manche Texte sind etwas klein
Das ist dann nicht so wichtig.
Ich erzähle, was es da zu sehen gibt.
Folien gibt es wie immer im Netz.
T. Hildmann tubIT – Stammtisch 2009
Motivation / Ziele
• Aktualisierung des Vortrags aus 2007
• Überblick über die von tubIT angebotenen
Verzeichnisdienste
• Anwendungsgebiete der jeweiligen Verzeichnisdienste
• Vorstellung der Arbeitsgruppe Identitymanagement
• Ausblick auf die mittel- und langfristigen Entwicklungen im
Bereich Verzeichnisdienste
T. Hildmann tubIT – Stammtisch 2009
Agenda
• Einleitung
• Vorstellung der Verzeichnisdienste und deren Funktionen
• Identitymanagement an der TU Berlin
• Ausblick auf TUBISx
• Zusammenfassung
• Diskussion
T. Hildmann tubIT – Stammtisch 2009
Verzeichnisdienste
Kerberos
LDAP
TUBIS
vLDAP
AD
MoodleMoses
Mailserver
Radius
UnixSSH
GästeBenutzerkonten-DBfür alle tubIT-Dienste(keine eigene Benutzerverwaltung)
Windows
Exchange
Anmeldung in PC-Poolsund Unterdomänen
Portal
Typo3
Zentrale Benutzer- und Rollenverwaltung+ Metadirectory
T. Hildmann tubIT – Stammtisch 2009
ActiveDirectorySingleForest,SingleTree
Masterdomain:win.tu‐berlin.de
Subdomains:tubit,ub,uv,EECS,...
Cross‐REAL‐Trust:TU‐BERLIN.DE
T. Hildmann tubIT – Stammtisch 2009
ActiveDirectorySingleForest,SingleTree
Masterdomain:win.tu‐berlin.de
Subdomains:tubit,ub,uv,EECS,...
Cross‐REAL‐Trust:TU‐BERLIN.DE
KerberosProdukt:MITKerberosV5
Architektur:Master,3Slaves
Principals:benutzername@TU‐BERLIN.DE
T. Hildmann tubIT – Stammtisch 2009
ActiveDirectorySingleForest,SingleTree
Masterdomain:win.tu‐berlin.de
Subdomains:tubit,ub,uv,EECS,...
Cross‐REAL‐Trust:TU‐BERLIN.DE
KerberosProdukt:MITKerberosV5
Architektur:Master,3Slaves
Principals:benutzername@TU‐BERLIN.DE
LDAPProdukt:OpenLDAP
Architektur:Master,1Slave,4weitereaufMailfrontends
T. Hildmann tubIT – Stammtisch 2009
ActiveDirectorySingleForest,SingleTree
Masterdomain:win.tu‐berlin.de
Subdomains:tubit,ub,uv,EECS,...
Cross‐REAL‐Trust:TU‐BERLIN.DE
KerberosProdukt:MITKerberosV5
Architektur:Master,3Slaves
Principals:benutzername@TU‐BERLIN.DE
LDAPProdukt:OpenLDAP
Architektur:Master,1Slave,4weitereaufMailfrontends
TUBISProdukt:EigenentwicklunganderTUB
Architektur:1redundanterServer
Technik:Solaris10Java1.5JPROX/Postgres
T. Hildmann tubIT – Stammtisch 2009
ActiveDirectorySingleForest,SingleTree
Masterdomain:win.tu‐berlin.de
Subdomains:tubit,ub,uv,EECS,...
Cross‐REAL‐Trust:TU‐BERLIN.DE
KerberosProdukt:MITKerberosV5
Architektur:Master,3Slaves
Principals:benutzername@TU‐BERLIN.DE
LDAPProdukt:OpenLDAP
Architektur:Master,1Slave,4weitereaufMailfrontends
TUBISProdukt:EigenentwicklunganderTUB
Architektur:1redundanterServer
Technik:Solaris10Java1.5JPROX/Postgres
vLDAPProdukt:Eigenentwicklung
Architektur:läuftaufdenTUBIS‐Servern
Technik:Penrose1.x/OpenLDAP
vLDAP
T. Hildmann tubIT – Stammtisch 2009
Active Directorygestern, heute und morgen
• Neuigkeiten seit 2007
diverse Unterdomains sind hinzugekommen
• Plan für 2009
noch mehr Domains hinzu
Daten der Benutzer dem LDAP angleichen
T. Hildmann tubIT – Stammtisch 2009
Kerberosgestern, heute und morgen
• Neuigkeiten seit 2007
weitere Slaves hinzugefügt
viele Dienste angebunden
ist jetzt zentrales Passwordrepository
• Plan für 2009
Prüfung der Idee, Kerberos in AD zu integrieren
T. Hildmann tubIT – Stammtisch 2009
LDAPgestern, heute und morgen
• Neuigkeiten seit 2007
Schema ist geändert (z.B. Attribute für Mail hinzugekommen)
einige alte Attribute werden nicht mehr gepflegt
Account- und Peoplezweig sind zum Userzweig verschmolzen
• Plan für 2009
Prüfung der Idee, LDAP in AD zu integrieren
T. Hildmann tubIT – Stammtisch 2009
TUBISgestern, heute und morgen
• Neuigkeiten seit 2007
Viele neue Nebenbedingungen wurden erfüllt
Anbindung an die Kartenausgabestelle und die Benutzerverwaltung
Studierende sind nun im TUBIS
“Externe” hinzugefügt (außerordentliche TU Mitglieder)
• Plan für 2009
Neue Schnittstelle für das Anlegen von Gast-Accounts (Portal)
Es wird evaluiert, welche Datenquellen zu integrieren sind.
T. Hildmann tubIT – Stammtisch 2009
vLDAPgestern, heute und morgen
• Neuigkeiten seit 2007
Typo3 Front- und Backend laufen über vLDAP
Neue Dienste nach Vorbild des Softwareportals über Webservices
• Plan für 2009
OpenLDAP als “Cache” der Daten
Umstellung auf Ereignisbezogene Änderung des LDAP-Systems
T. Hildmann tubIT – Stammtisch 2009
TUBIS: Merke
T. Hildmann tubIT – Stammtisch 2009
Identitätsmanagementan der TU Berlin
• Leiter: Christopher Ritter
• Telefon: 78614
• E-Mail: idm@tubit.tu-berlin.de
• 7 Personen (Festangestellte)EntwicklungSupportTagesgeschäft
• AufgabenBenutzerverwaltungVerzeichnisdienste (Inhalt)Authentisierung/AutorisierungAnwendungsintegration in das
AAI
T. Hildmann tubIT – Stammtisch 2009
tubIT-AG: Identitymanagment
T. Hildmann tubIT – Stammtisch 2009
Module eines IDM
MetadirectoryProvisionie-rungsmodul
Access Management
Selbstverwal-tungsfunktion
Föderations-schnittstelle
Verzeichnisse
Passwort-synchronisation
T. Hildmann tubIT – Stammtisch 2009
Provisionierungsmodul
MetadirectoryProvisionie-rungsmodul
Access Management
Selbstverwal-tungsfunktion
Föderations-schnittstelle
Verzeichnisse
Passwort-synchronisation
Provisionierungs-modul
KASInfrastruktur
Aktivierungs-GUI
Externen-Verwaltung
T. Hildmann tubIT – Stammtisch 2009
Metadirectory
MetadirectoryProvisionie-rungsmodul
Access Management
Selbstverwal-tungsfunktion
Föderations-schnittstelle
Verzeichnisse
Passwort-synchronisation
Metadirectory
TBUIS
Loga SOS/POS
LDAP ExternenDBCOB
T. Hildmann tubIT – Stammtisch 2009
Selbstverwaltungsfunktionen
MetadirectoryProvisionie-rungsmodul
Access Management
Selbstverwal-tungsfunktion
Föderations-schnittstelle
Verzeichnisse
Passwort-synchronisation
Selbstverwal-tungsfunktionen
Loga
SOS/POS
TUBIS
Horde
Passwort-änderung
T. Hildmann tubIT – Stammtisch 2009
Module eines IDM
MetadirectoryProvisionie-rungsmodul
Access Management
Selbstverwal-tungsfunktion
Föderations-schnittstelle
Verzeichnisse
Passwort-synchronisation
T. Hildmann tubIT – Stammtisch 2009
Datenfluss
Kartenaus-gabestelle
Aktivierungs-GUI
TUBIS LDAP
tuBVActiveDirectory
Kerberos
vLDAP
1:
2:
2.1:
2.2:
2.3:
2.4:
3:
T. Hildmann tubIT – Stammtisch 2009
Ausblick aufTUBISx
T. Hildmann tubIT – Stammtisch 2009
Geplante Technik für TUBISx
Java Enterprise Edition (JEE) 5
EJB 3
AS: Glassfish v.2.x
DB: Postgres 8.3
T. Hildmann tubIT – Stammtisch 2009
Geplante Merkmale
• Existierendes Datenmodell
• Neue Architektur
• Pull- und Push-Dienste für Verzeichnisse
• Ereignissteuerung
• Neue Benutzungsschnittstelle
• Erstes RBAC-System mit xRE-Unterstützung
T. Hildmann tubIT – Stammtisch 2009
Zusammenfassung
• tubIT betreibt folgende Verzeichnisse: LDAP, Kerberos,
Active Directory, TUBIS, vLDAP
• Die Verzeichnisse können und sollen jeweils abhängig vom
Einsatzgebiet genutzt werden.
• Aufgabe der Arbeitsgruppe IDM ist u.a. eine konsistente
und korrekte Versorgung der Verzeichnisse mit Attributen.
• Hierzu werden die bestehenden Dienste weiterentwickelt.
T. Hildmann tubIT – Stammtisch 2009
Diskussion(Fragen, Anregungen,
Kommentare, ...)
T. Hildmann tubIT – Stammtisch 2009