![Page 1: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/1.jpg)
ZKI, März 04 1Dipl.-Inform Hans Dieter Petersen
Zentraler Verzeichnisdienst an Hochschulen
Fluch oder Segen?
![Page 2: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/2.jpg)
ZKI, März 04 2Dipl.-Inform Hans Dieter Petersen
Zentrale Benutzer-Verwaltung
Fluch oder Segen?
![Page 3: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/3.jpg)
ZKI, März 04 3Dipl.-Inform Hans Dieter Petersen
Universität Bonn
• Rheinische Friedrich-Wilhelms-Universität
• 8 Fakultäten
• Ca. 400 Institute und Seminare
• 38.000 Studenten
• 7.000 Mitarbeiter (inkl. Medizinische Einr.)
jeder Angehörige ein Account
![Page 4: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/4.jpg)
ZKI, März 04 4Dipl.-Inform Hans Dieter Petersen
![Page 5: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/5.jpg)
ZKI, März 04 5Dipl.-Inform Hans Dieter Petersen
![Page 6: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/6.jpg)
ZKI, März 04 6Dipl.-Inform Hans Dieter Petersen
Tivoli Landeslizenz NRW
• Dezember 2002
• Software und Unterstützungstage– Performance and Availability– Configuration Management– Storage– Security
• Projektgruppen und Lenkungskreis– Enge Zusammenarbeit mit Business-Partner
(Triaton und Sparkassen Informatik)
![Page 7: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/7.jpg)
ZKI, März 04 7Dipl.-Inform Hans Dieter Petersen
Tivoli-Arbeitskreis
• 24./25.03.2004 in Darmstadt
![Page 8: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/8.jpg)
ZKI, März 04 8Dipl.-Inform Hans Dieter Petersen
Benutzerverwaltung
• Seit 1975 Benutzerverwaltung– Für MVS und TSO
• Einsatz bis 1999– Für MVS/TSO/VM mit 3000 Nutzern
• Benutzerverwaltung 2000– Für AFS/AIX mit 25.000 Nutzern
• Benutzerverwaltung 2004
![Page 9: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/9.jpg)
ZKI, März 04 9Dipl.-Inform Hans Dieter Petersen
Warum neue Benutzerverwaltung
• Oracle-Datenbank und Forms– Keine Web-Schnittstelle– Provisionierung nur nach AFS– Keine Reconciliation– Keine dezentrale Admin-Schnittstelle
• Zentrales LDAP ist keine Lösung!
![Page 10: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/10.jpg)
ZKI, März 04 10Dipl.-Inform Hans Dieter Petersen
Personen vs. Account(1)
• Systemadmins sprechen von Accounts– Authentifizierung– Zugriffsrechte– Abrechnung (accounting)– personenbezogene Daten zwecks Rücksprache– notwendige System-Accounts– Welche Accounts gehören zu welcher Person?
![Page 11: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/11.jpg)
ZKI, März 04 11Dipl.-Inform Hans Dieter Petersen
Personen vs. Accounts(2)
• Personalverwaltung Personendaten
• Organisationsstruktur Rolle
• Eine Person hat weitere Rollen
• Rollen führen zu accounts
• Automatismen und Workflow– Provisionierung der Accounts
• Zuordnung von Accounts zu Personen– Reconciliation der Accounts
![Page 12: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/12.jpg)
ZKI, März 04 12Dipl.-Inform Hans Dieter Petersen
Heterogene Systeme
• Genau 1 Authoriserungsservice?– Single Sign on – Kerberos– LDAP
• Genau 1 Verzeichnisdienst?– Meta-Directory LDAP– Anpassung der Anwendung– Authentifizierung ja, Login nein?
![Page 13: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/13.jpg)
ZKI, März 04 13Dipl.-Inform Hans Dieter Petersen
Daten für Benutzerverwaltung
• Suche der Datenquellen– Personendaten– Accountdaten im weitesten Sinne
• Erfassung der Prozesse– Immatrikulation– Einstellung von Mitarbeitern– Gäste/Tagungen
• Zuordnung von Zugriffsrechten– Statisch <-> Rollenbasiert– Dezentrale Administration– Zustimmungspflichtig
![Page 14: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/14.jpg)
ZKI, März 04 14Dipl.-Inform Hans Dieter Petersen
IBM Tivoli Identity ManagerArchitektur für Duisburg-Essen
HISSOS HISSVA ErfassungInf.Selbst.
ErfassungEmail
ErfassungTelefondat.
ErfassungGäste-
Gruppen(Konferenz)
HISMBS
IBM Directory Integrator (IDI)
IBM Tivoli Identity Manager DB.
Web AdminErfassung
Gäste
„Mein Profil“
Provisioning
IDI
IDI
ZentralesLDAP
Bib.-system
ADExchangeVerwalt.
ADHRZ Mail: In Out Box
Samba - Radius
AIX - NISCM TSM
BuiSy
Telefon
IBM Tivoli
AccessManager
ExterneDirectories/
Anwendungen
![Page 15: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/15.jpg)
ZKI, März 04 15Dipl.-Inform Hans Dieter Petersen
Umsetzung
• Zentrale Aufgabe– Möglichst alle Betroffenen an einem Tisch
• Datenschutz– Workflow
• Wer, wo, warum ein/ausgetragen wird
– Rollenänderung Änderung der Zugriffsrechte
• Personalräte– Es steht fest, wo personenbezogene liegen
![Page 16: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/16.jpg)
ZKI, März 04 16Dipl.-Inform Hans Dieter Petersen
Eingesetze Produkte
• IBM Tivoli Directory Server (LDAP)
• IBM Tivoli Identity Manager (ITIM 4.5)
• IBM Directory Integrator (IDI)
• IBM Tivoli Access Manager eBusiness (TAM)
![Page 17: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/17.jpg)
ZKI, März 04 17Dipl.-Inform Hans Dieter Petersen
ITIM 4.5
• IBM Tivoli Identity Manager– Servlet basierender LDAP Editor– 70 Agents für gängige Account-Verwaltung
• ADS, UNIX, Novell, RACF, Database, LDAP, CLI, Exchange, etc.
– GUI für User Self Service• Password Management
– Dezentrale Admin Delegation– LifeCycle und Workflow– Directory Integrator beliebige Datenquellen
![Page 18: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/18.jpg)
ZKI, März 04 18Dipl.-Inform Hans Dieter Petersen
Highlights
• GUI editor für alle GUIs
• Workflow editor
• Alle Daten liegen im LDAP
• Javascript– Erweiterung mit Servlets möglich– Syntaxcheck bei Eingabe
• Eskalationsfeature bei Workflow
• Accept, Reject oder Request for Input
![Page 19: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/19.jpg)
ZKI, März 04 19Dipl.-Inform Hans Dieter Petersen
Einsatz im HRZ
• Februar 03: TIM 4.4 installiert• März 03: Workshop zu TIM 4.4
– Datenquellen– Welche Rollen– Welche Zielsysteme
• Juni 03: ESP zu TIM 4.5• Dezember 03: TIM 4.5
– Festlegen der Organisation– Agenten auf Basis von CLI-X– Erweiterung der Servlets
• März 04:– Festlegung der Datenmatrix
![Page 20: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/20.jpg)
ZKI, März 04 20Dipl.-Inform Hans Dieter Petersen
Was fehlt(e) in TIM?
• Studentendaten über Datenaustausch– Student kann Account frei wählen (eindeutig!)– Student/Nutzer kann e-Mail Adresse frei wählen– Account wird erst durch den Nutzer frei
geschaltet (implizite Zustimmung zur Benutzungsordnung!)
• Accounts haben ein Ende-Datum– Verlängerung
![Page 21: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/21.jpg)
ZKI, März 04 21Dipl.-Inform Hans Dieter Petersen
Schlußfolgerungen
• LDAP löst nicht die Probleme sondern zentralisiert sie!
• Es besteht ein Unterschied zwischen Personen und Accounts!
• Beginne mit wenigen Datenquellen!
• Aus Sicherheitsgründen müssen sich nicht nur Personen sondern auch Rechner authentifizieren!
![Page 22: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/22.jpg)
ZKI, März 04 22Dipl.-Inform Hans Dieter Petersen
ITIM Login
![Page 23: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/23.jpg)
ZKI, März 04 23Dipl.-Inform Hans Dieter Petersen
Organisation
![Page 24: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/24.jpg)
ZKI, März 04 24Dipl.-Inform Hans Dieter Petersen
Accounts
![Page 25: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/25.jpg)
ZKI, März 04 25Dipl.-Inform Hans Dieter Petersen
GUI Editor
![Page 26: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/26.jpg)
ZKI, März 04 26Dipl.-Inform Hans Dieter Petersen
Services
![Page 27: ZKI, März 041Dipl.-Inform Hans Dieter Petersen Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de](https://reader035.vdocuments.pub/reader035/viewer/2022062512/55204d6349795902118b8fbc/html5/thumbnails/27.jpg)
ZKI, März 04 27Dipl.-Inform Hans Dieter Petersen
Workflow Editor