Directory auf Meta-Ebene steuert heterogene IT-Systemwelt

Alpine ist ein weltweit tätige Baukonzern. Er erwirtschaftet einen Umsatz von knapp zwei Milliarden Euro pro Jahr und beschäftigt rund 9000 Mitarbeitern. Mit einem zentralen User- und Identity-Management sowie einem Single Sign On auf Basis des offenen Standards Lightweight Directory Access Protocol (LDAP) hat das Unternehmen bares Geld gespart.

„Nur damit die IT technisch auf dem neuesten Stand ist, macht keine Unternehmensleitung Geld locker“, sagt Hans Lechner, IT-Leiter beim Baukonzern Alpine Mayreder. Dennoch haben die Österreicher das Projekt gestemmt, das die IT-Betriebskosten senkt und bei genauerer Betrachtung gleichzeitig deutliche Verbesserungen für die User bringt. Alpine hat eine historisch gewachsene Systemlandschaft mit einem hohen Verwaltungsaufwand: „Wir setzen die unterschiedlichsten Betriebssysteme ein, etwa diverse Microsoft-Windows-Versionen (NT Server, Server 2003), und darüber hinaus gehören Server unter Linux zum IT-Inventar“, erklärt Lechner.

Eine Vielzahl von Web-Anwendungen sowie Office-, Mail- und Back-End-Applikationen sind ebenfalls im Einsatz. Eine besondere Herausforderung für Alpine bestand nun darin, das Identiy-Management mit der Benutzer- und Rechteverwaltung in der komplexen IT-Landschaft zu bewerkstelligen. So wurden rund 100 NT-Domänen unter Samba für jeden Standort separat gemanagt. Zugleich existiert für das linuxbasierende E-Mail-System und den Webproxy-Dienst seit einigen Jahren ein zentrales LDAP Directory, das die konzernweite Benutzerverwaltung regelte.

Eine besondere Herausforderung für Alpine bestand vor allem darin, das Identiy-Management mit der Benutzer- und Rechteverwaltung in der komplexen IT-Landschaft zu bewerkstelligen. Die Vielfalt der IT-Systeme spiegelte sich in einem heterogenen Management-Konzept wider, wie Lechner erklärt. So wurden rund 100 NT-Domänen unter Samba für jeden Standort separat verwaltet. Samba ist ein Open-Source-Projekt, das Linux- beziehungsweise UNIX-Servern ermöglicht, Verzeichnis- und Drucker-Freigaben für Windows-Clients zur Verfügung zu stellen. Zugleich existierte für das linuxbasierende E-Mail-System und den Webproxy-Dienst seit einigen Jahren ein zentrales LDAP Directory, das die konzernweite Benutzerverwaltung regelte.

Damit die rund 2500 User von Alpine ortsunabhängig Zugang und Zugriff auf ihre Daten hatten, mussten sie zum Teil mehrfach angelegt werden – sowohl in der Zentrale als auch in den Außenstellen, in denen sie tätig waren. Entsprechend ihrer Berechtigungen galt es, ihnen Ressourcen wie Drucker lokal zuzuordnen. Auch mussten sie sich für jede Applikation, zu der sie einen berechtigten Zugriff hatten, einzeln anmelden.