Von: Hadi Stiel
In den Zeiten von E-Commerce und E-Business sind die Unternehmen gefordert, ihre unterschiedlichen Systeme unter einen Hut zu bringen. Denn die Hinwendung zum Online-Geschäft fordert ihnen durchgehende, IT-gestützte Geschäftsprozessketten ab.
Anvisiertes Ziel dieser Integration sind die Verzeichnisdienste der beteiligten IT: Betriebssysteme, Netzwerkbetriebssysteme, Netzdienste, Datenbanken, Anwendungen, Host und Web-Server. Sie beherbergen innerhalb von Profilen in Form von Objekten und Attributen die Einträge, Regeln und Rollen, die innerhalb der eigenen Systemwelt zur Adressierung von benutzer- und gruppenspezifischer Daten und Systemressourcen erforderlich sind und mit Blick auf durchgehende Geschäftsprozesse jetzt dringend zentral gebraucht werden. Markt- und Technikkenner haben keinen Zweifel daran, dass letztlich nur Überverzeichnisse, so genannte Meta-Directories, diese Rolle in hinreichender Integrationsbreite übernehmen werden können.
Verheißungsvolle Perspektiven
Mit einer Integration der bestehenden Verzeichnisse in ein Meta- Directory kann das Unternehmen die strategische Basis für eine ganze Reihe von Vorteilen und Techniken legen. Dr. Jürgen Spitzner-von der Haar, beim Kommunikationsdienstleister Sornet in Bad Camberg verantwortlich für den Bereich Verzeichnissysteme, zählt sie auf. Das Meta-Directory trägt im heterogenen IT-Umfeld zu einer hohen Datenkonsistenz und damit Datenqualität bei.
Durch die Möglichkeit, über die hierarchischen Strukturen des Meta-Verzeichnisses den Aufbau der Organisation nachzuvollziehen, können die Benutzer die Daten, Dienste, Anwendungen und Systemressourcen darin schnell und gezielt ansprechen. Ebenso wird die Verwaltung des Gesamtsystems für die Administratoren transparenter und für das Unternehmen wirtschaftlicher.
Die Zentralisierung der Verwaltung bildet die Grundlage für einen Single-Sign-on für den kontrollierten Zugriff bis in die Zielsysteme hinein. In diesem Fall brauchen sich die Benutzer nur noch das Primary Password für den generellen Zugang ins Netz zu merken. Alle Secondary Passwords werden automatisch im Hintergrund via Meta- Directory dem einwählenden PC zugewiesen, ohne dass der Benutzer sie zu sehen bekommt. Werden Passwörter durch digitale Zertifikate ersetzt, ist gleichzeitig die Basis für eine moderne PKI (Private Key Infrastructure) gelegt. Auch eine externe Certified Authority wird als PKI-Dienstleister nicht am Einsatz eines Verzeichnisdienstes vorbeikommen. Mit dem zentralen Pool an benutzer- und benutzergruppenspezifischen Regeln kann ein umfassendes Sicherheitssystem herausgebildet werden, für das die Regeln jederzeit zentral konsistent gehalten werden können.
Im Markt zeichnet sich bereits eine Synthese zwischen IT-, Sicherheits- und Telekommunikations-Management ab, um den durchgehenden Geschäftsprozessen mit einem ebensolchen Management zu folgen. Diese drei Plattformen wirtschaftlich und konsistent zu verwalten, wird nur mit einem Meta- Directory möglich sein.
Als übergreifender Ansatz erlaubt das Überverzeichnis, auch Geschäftspartner im Rahmen von E-Business einzubinden, flexibel auf veränderte Partnerkonstellationen zu reagieren und die Administration von Verzeichnisdaten nach Bedarf partnerschaftlich aufzuteilen. Setzt der Serviceprovider auf den Einsatz eines Meta-Directory, kann er Anwendungen und Dienste des Unternehmens in seine Managementleistungen übernehmen. Gleichzeitig lassen sich damit und mit Administrationsprofilen Verwaltungszuständigkeiten individuell zwischen dem Provider und Unternehmen aufteilen. Bisher müssen Dienstleister ihre Kunden überzeugen, die Anwendungen und Services auf ihren Servern zu platzieren, ohne die Möglichkeit, Verwaltungshoheiten zu separieren. Mit den Verzeichnisdiensten lösen sich die Unternehmen wie die Provider aus der Abhängigkeit von proprietären Verzeichnisintegrationsverfahren der Managementsystemhersteller. Sie binden bis heute kaum klassische Anwendungen sowie Datenbanksysteme, die wichtigsten Träger der Geschäftsprozesse, ein.
Bei der Integrationsintelligenz kräftig zugelegt
Das Überverzeichnis kann als zusätzlicher Baustein in der IT-Welt platziert werden, ohne dazu die Formate und Strukturen innerhalb der untergeordneten Verzeichnisse antasten zu müssen. "Dieser Integrationsansatz von oben erschließt dem Unternehmen zudem einen Migrationsweg, flexibel die Integrationsreihenfolge vorzugeben und beispielsweise nicht so wichtige Zielsysteme erst einmal außen vor zu lassen", weiß Spitzner aus der Projektpraxis. Die Zeit für den Einsatz von Meta-Directories ist reif. Sie haben innerhalb der letzten zwölf Monate kräftig bei den Konnektoren zugelegt, um darüber die Verzeichnisse einer Vielzahl an Zielsystemen einzubinden. Für die Systeme, für die ein solcher Konnektor fehlt, gilt es für die Projektverantwortlichen von Fall zu Fall abzuwägen, ob mit aufwändiger Programmierung eine Integration lohnt oder eher auf eine Einbindung dieses Systems verzichtet werden kann. Die wichtigsten Hersteller im Markt, die ein Meta-Directory-System anbieten, sind Siemens mit "DirX", BT/Syntegra mit "Rialto", Critical Path mit "Meta Connect", iPlanet mit "Meta Directory" und Novell mit "e-Directory".
Der Sornet-Spezialist warnt jedoch davor, dem Herstellerargument, man biete Standardkonnektoren, zuviel Glauben zu schenken. "Die Konnektoren sind durchgehend eigenständig entwickelte Lösungen, die LDAP (Light Weight Directory Access Protocol) gemäß dem IETF-Standard (IETF = Internet Engineering Task Force) oder den OSI-Standard DAP enthalten können, aber nicht müssen." Sie seien damit nicht austauschbar.
LDAP und DAP reichen nicht aus
Selbst wenn LDAP oder DAP zum Einsatz kämen, bedürfe es eines zusätzlichen herstellerspezifischen API (Application Program Interface), um die Informationen zwischen den zentralen und den dezentralen Verzeichnisstrukturen und Objektformaten in den Zielsystemen umzusetzen. Zudem ist ein herstellerspezifisches programmierbares Regelwerk erforderlich. Über dieses wird gesteuert, ob beispielsweise bei einer Änderung gleichzeitig eine E-Mail verschickt oder eine Log-Datei um einen Eintrag ergänzt werden soll. Auch typische "if-then-else"-Abfragen sind über ein solches Regelwerk programmierbar, um Kontrolle über automatisierte Vorgänge zu erhalten. Alle Komponenten zusammen machen erst den Konnektor zur Einbindung der Verzeichnisse der Zielsysteme aus.
Diese komplette Konnektortechnik ist zudem Voraussetzung dafür, dass Verzeichnisinformationen, die sowohl im Meta-Directory als auch in den Verzeichnissen der Zielsysteme hinterlegt sind, automatisch synchronisiert werden können. Dazu kommt zusätzlich idealerweise ein so genanntes Event-Notification-System zum Einsatz, das die Änderungen in den Zielsystemen erkennt und sofort, anders als Zeitintervall-gesteuerte Systeme, innerhalb des Meta-Directory nachvollzieht und anschließend Synchronisationsprozesse zu anderen Zielsystemen anstößt. Nur so sind die verteilten Informationen netzweit stets auf dem aktuellen Stand und damit konsistent.
Unterschiedliche Services und Protokolle
Neben der Konnektortechnik muss die Partitionierung von Verzeichnisbaumstrukturen sowie ihre Replikation geregelt sein. Mit der Partitionierung können genau die Baumabschnitte mit den Verzeichnisinformationen einzelnen Standorten oder Organisationseinheiten zugewiesen werden, die dort gebraucht werden. Per Replikation lässt sich diese Partition dann beliebig oft duplizieren, um sie auf mehreren Servern abzulegen. Nur so stehen die Verzeichnisinformationen lokal auch bei Ausfall eines Servers immer zur Verfügung.
Wie die dafür notwendigen Services erbracht werden, ist bei X.500-basierenden und bei auf einer direkten LDAP-Kommunikation aufbauenden Meta-Directories unterschiedlich. Gemeinsam ist beiden nur die X.500-Struktur. Spitzner: "Die erste Herstellergruppe mit Siemens, BT/Syntegra oder Critical Path nutzt dazu die Dienste der kompletten OSI-X.500-Suite." DISP (Directory Information Shadowing Protocol) ist für die gezielte Replikation von Verzeichnispartitionen auf den Servern zuständig. DOP(Directory Operational Binding Management Protocol) zeichnet für die Authentifizierung zwischen den Servern für eine gesicherte Übertragung verantwortlich. DSP(Directory System Protocol) übernimmt die Übertragung der Verzeichnisinformationen zwischen diesen Servern.
Die zweite Herstellergruppe mit iPlanet und Novell baut ihre Meta-Directory-Konstruktion direkt auf TCP/IP auf, während der Client über LDAP mit dem Verzeichnis kommuniziert. Für den Kontakt zwischen den Überverzeichnis-Servern verlassen diese Lösungen jedoch das Terrain eines soliden Standards. Die Datenhaltung, die Synchronisation der Verzeichnisinformationen innerhalb der Meta-Directory-Welt sowie alle anderen Services werden bei beiden Herstellern über proprietäre Protokolle umgesetzt.
Zumindest hat iPlanet seine Lösung bereits als Standardentwurf bei der IETF eingebracht. "Dafür überzeugt Novell ohne Standardisierungschance mit e-Directory durch den konsequenten Einsatz von XML", unterstreicht Robert Heinrich, bei Arthur Andersen in Eschborn verantwortlich für Technology Risk Consulting. Die Vorteile dieser Web-Metasprache benennt er gleich: "Damit können nicht nur Directory-Informationen als standardkonforme Objekte in der E-Directory-Datenbank abgelegt werden. XML kann zudem als Middleware und zur flexiblen Ausgestaltung von Web-Seiten zur Präsentation der Verzeichnisinformationen an den Web-Clients dienen."
Auf die richtige Verteilung kommt es an
Bei allen fünf Meta-Directories hat das Unternehmen zwei Möglichkeiten, Bezüge über Verzeichnisgrenzen hinweg herstellen:
- Die Informationen von gemeinschaftlichem Interesse - beispielsweise der Objektklassen-Benutzer, Drucker, Dateidienste, Workstations, Listen/Gruppen und Netzkomponenten - können innerhalb des Meta-Directories abgelegt werden: In diesem Fall muss weniger die Synchronisation mit den Verzeichnisinformationen in den untergeordneten Zielsystemen betont werden, vielmehr die Partitionierung und Replikation von Baumausschnitten.
- Auf die Informationen von gemeinschaftlichem Interesse wird referenziert, die in diesem Fall in den untergeordneten Verzeichnissen der Zielsysteme verbleiben: Das zieht umfassende Synchronisationen über Verzeichnisgrenzen hinweg nach sich, reduziert dafür aber die Notwendigkeit zu partitionieren und zu replizieren.
"In der Praxis wird in der Regel eine Mischung beider Verfahrensweisen zum Zuge kommen", erläutert Heinrich. So sollten Daten, die der Geheimhaltung unterliegen, wie sensible Personaldaten, im Zielsystem verbleiben. Andererseits könnten Informationen von gemeinschaftlichem Interesse, die im Meta-Directory abgelegt werden, aber dennoch dezentral in den untergeordneten Verzeichnissen verbleiben, im Tagesbetrieb Performanceprobleme und hohe Übertragungskosten über Weitverkehrsverbindungen nach sich ziehen.
Schneller zu planen und zu implementieren
Für die Entscheidung, welche Objektinformationen innerhalb des Meta-Directory und welche weiterhin in den untergeordneten Verzeichnissystemen gehalten werden sollten, kommt das Unternehmen nicht an einer gründlichen Analyse der eigenen Geschäftsprozesse vorbei. "Die individuellen Business-Prozesse prägen auch die Struktur der Verzeichnisobjekte sowie ihrer Attribute", sensibilisiert Spitzner die Unternehmen. Damit das Konzept insgesamt für das Unternehmen aufgeht, sollten zudem künftige Änderungen an den Geschäftsprozessen durch entsprechende Objekterweiterungen antizipiert werden, so der Verzeichnisspezialist. "Stehen alle Zielsysteme, die eingebunden werden sollen sowie die Reihenfolge ihrer Einbindung fest, geht nichts ohne eine umfassende Detailanalyse, an der alle beteiligten Abteilungen und Standorte des Unternehmens aktiv über Vertreter dieser Bereiche mitwirken müssen." Die komplette Planungsphase könne bei weitem den anschließenden Zeit- und Kostenaufwand für die technische Umsetzung der Lösung übersteigen, warnt er.
Welcher Meta-Directory-Ansatz im Markt letztlich das Rennen machen wird, daran scheiden sich derzeit die Geister der Markt- und Technikkenner. Die einen favorisieren weiterhin den X.500-basierenden Ansatz aufgrund seiner Standardkonformität. Die anderen sehen die weniger komplexen Meta- Directories, die auf proprietären Protokollerweiterungen basieren, allen voran die iPlanet-Lösung, kräftig aufholen. Sie seien einfacher zu planen, zu implementieren und zudem leistungsfähiger als ihre X.500-Konkurrenten, so ihre Argumente. Sollte iPlanet für seinen Lösungsansatz die Standardweihe des IETF erhalten, könnte die zweite Gruppe vor allem mit Blick auf den geringeren Projektaufwand recht behalten. (sf)
Zur Person
Hadi Stiel
ist freier Journalist und Berater in Bad Camberg.