Fast noch problematischer als das Anlegen der Nutzer und deren verfügbarer Ressourcen im jeweiligen lokalen Netz war das korrekte Löschen, etwa wenn ein Mitarbeiter ausscheidet oder sich seine Berechtigungen änderten. Lechner dazu: „Es war sehr aufwändig nachzuprüfen, in welchen lokalen Directorys ein User angelegt war, um ihn vollständig löschen zu können.“ Das barg potenzielle Sicherheitsrisiken, da die Gefahr bestand, Einträge in den unterschiedlichen Systemen schlicht zu vergessen.
Alpine hat sich daher Mitte 2005 entschlossen, eine Lösung zu suchen, die die rund 2500 Windows-2000- und Windows-XP-Arbeitsplätze in den Außenstellen in das zentral betriebene LDAP Directory, basierend auf Linux Open LDAP, integriert. Fündig wurden die Salzburger bei der Wiener Comtarsia GmbH und deren „Sign On“-Produktfamilie. Die Comtarsia „Sign On Solutions“ bestehen aus zwei Systemmodulen, dem „Comtarsia Logon Client“ und dem „Comtarsia Sign On Gate“.
Der Logon-Client ermöglicht am Arbeitsplatz eine direkte Anmeldung an ein LDAP Directory. Durch eine LDAP-Schema-Erweiterung können Informationen wie Benutzerverzeichnispfad, Benutzerprofilpfad, Drucker und Laufwerkszuordungen, Single-Sign-On-Daten (SSO), im LDAP-Benutzer- oder -Gruppen-Objekt abgelegt werden, das der Logon-Client bei jeder Anmeldung auswertet. Die automatische Benutzerverwaltung auf den Ressourcensystemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix) übernimmt das Zusatzprodukt Comtarsia Sign On Gate.
Alternativ hätte Alpine die vorhandenen Verzeichnisse vollständig durch ein zentrales Active Directory ersetzen können, um damit alle dezentralen Server zu managen. Das zentrale LDAP-Verzeichnis war bereits detailliert aufgebaut und enthielt sehr viele Hierarchieebenen, in denen die Benutzerprofile und Ressourcen festgelegt waren. „Die getätigten Investitionen wollten wir sichern“, sagt Lechner. „Zudem haben wir zahlreiche Open-Source-Systeme im Einsatz, und dafür ist LDAP die Lösung.“ LDAP ist ein offener Standard und herstellerunabhängig.
„Der große Vorteil von Comtarsia ist, dass sich zwei Welten, in unserem Fall Linux und Windows, miteinander verknüpfen und zentral managen lassen. Die heutigen Systeme bleiben eigenständig. Open LDAP in der zentralen Benutzerverwaltung, Active Directory für einige Server-Anwendungen und Linux/Samba als Fileserver kann mit den Lösungen ohne zusätzlichen Aufwand vereint werden“, so Lechner. Im dritten Quartal 2005 begann der Roll-out des Produkts. Inzwischen sind alle 2500 Arbeitsplätze installiert.
Mit Implementierung des einheitlichen Directory-Managements von Comtarsia hat Alpine quasi nebenbei ein Single Sign On (SSO) realisiert. Nachdem die neue Lösung im Einsatz ist und der Verwaltungsaufwand deutlich gesenkt werden konnte sowie die Management-Qualität verbessert wurde, widmet sich Alpine nun dem Thema Sicherheit: In Zukunft soll die Anmeldung nur noch mittels Smart Card oder Token möglich sein. Eine PKI-Teststellung auf Basis von Comtarsia konnte im Alpine-Netzwerk bereits erfolgreich realisiert werden.
Neueste Kommentare
Noch keine Kommentare zu Directory auf Meta-Ebene steuert heterogene IT-Systemwelt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.