Directory auf Meta-Ebene steuert heterogene IT-Systemwelt

Bernd Seidel

"Wir setzen die unterschiedlichsten Betriebssysteme, etwa diverse Microsoft-Windows-Versionen (NT Server, Server 2003), ein, und darüber hinaus gehören Server unter Linux zum IT-Inventar", erklärt Hans Lechner, Leiter IT beim Baukonzern Alpine Mayreder. Eine Vielzahl von Web-Anwendungen sowie Office-, Mail- und Backend-Applikationen sind ebenfalls im Einsatz. Eine besondere Herausforderung für das Unternehmen bestand nun darin, das Identiy-Management mit der Benutzer- und Rechteverwaltung in der komplexen IT-Landschaft zu bewerkstelligen. So wurden rund 100 NT-Domänen unter Samba für jeden Standort separat gemanagt. Zugleich existiert für das Linux-basierende E-Mail-System und den Webproxy-Dienst seit einigen Jahren ein zentrales LDAP Directory, das die konzernweite Benutzerverwaltung regelte.

Damit die User ortsunabhängig Zugang und Zugriff auf ihre Daten haben, mussten sie zum Teil mehrfach angelegt werden. "Fast noch problematischer als das Anlegen der Nutzer und deren verfügbaren Ressourcen im jeweiligen lokalen Netz war das korrekte Löschen, etwa wenn ein Mitarbeiter ausschied oder sich seine Berechtigungen änderten", erklärt der IT-Chef.

Zentral integriert

Das Baukonzern hat sich daher Mitte 2005 entschlossen, eine Lösung zu suchen, die die rund 2500 Windows-2000- und Windows-XP-Arbeitsplätze in den Außenstellen in das zentral betriebene LDAP Directory, basierend auf Linux Open LDAP, integriert. Fündig wurden die Salzburger bei der Wiener Comtarsia GmbH. und deren "SignOn"-Produktfamilie. Diese besteht aus zwei Systemmodulen, dem "Logon Client" und dem "SignOn Gate". Der Logon Client ermöglicht am Arbeitsplatz eine direkte Anmeldung an ein LDAP Directory.

Durch eine LDAP-Schema-Erweiterung können Informationen wie Benutzerverzeichnispfad, Benutzerprofilpfad, Drucker und Laufwerkszuordungen, Single-Sign-On (SSO)-Daten, im LDAP-Benutzer- oder -Gruppen-Objekt abgelegt werden, das der Logon Client bei jeder Anmeldung auswertet. Die automatische Benutzerverwaltung auf den Ressourcensystemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix) übernimmt das Zusatzprodukt "SignOn Gate".

Windows und Linux verknüpft

"Der große Vorteil von dieser Lösung ist, dass sich zwei Welten, in unserem Fall Linux und Windows, miteinander verknüpfen und zentral managen lassen. Die heutigen Systeme bleiben eigenständig. OpenLDAP in der zentralen Benutzerverwaltung, Active Directory für einige Server-Anwendungen und Linux/Samba als Fileserver kann mit den Lösungen ohne zusätzlichen Aufwand vereint werden", so Lechner. Im dritten Quartal 2005 begann der Roll-out des Produkts, und inzwischen sind alle 2500 Arbeitsplätze installiert.

Mit Implementierung des einheitlichen Directory-Managements hat der Baukonzern quasi nebenbei ein Single Sign On (SSO) realisiert. Nachdem die neue Lösung im Einsatz ist und der Verwaltungsaufwand deutlich gesenkt werden konnte sowie die Management-Qualität verbessert wurde, widmet man sich nun dem Thema Sicherheit: In Zukunft soll die Anmeldung nur noch mittels Smart Card oder Token möglich sein. Eine PKI-Teststellung auf Basis der Softwarelösung konnte im Unternehmens-Netzwerk bereits erfolgreich realisiert werden.

http://signon.comtarsia.com/

Bernd Seidel ist freier Journalist in München

---

Baukonzern Alpine

Das weltweit tätige Unternehmen wurde 1965 gegründet. Es erwirtschaftet einen Umsatz von knapp zwei Milliarden Euro pro Jahr, beschäftigt rund 9000 Mitarbeitern und ist damit der zweitgrößte Baukonzern Österreichs. In den vergangenen sechs Jahren konnte der Konzern seine Bauleistungen mehr als verdoppeln, die Finanzierung erfolgte aus der Ertragskraft des Unternehmens. Der Konzern hat mittlerweile rund 150 Tochtergesellschaften und Beteiligungen. Zu den Kerngeschäftsfeldern gehören Hochbau, Straßen- und Ingenieurtiefbau, Tunnel- und Spezialtiefbau, Kraftwerksbau, Projektentwicklung und die Energie-Gruppe.