User-Verwaltung - bequem und sicher

Bernd Seidel ist freier Journalist und Coach in München.
Dank eines zentralen Identity-Managements mit Single Sign-on auf LDAP-Basis senkt der Baukonzern Alpine den IT-Verwaltungsaufwand.

Die Investitionen in Soft- und Hardware müssen sich positiv in den Arbeitsabläufen niederschlagen - und zwar sichtbar, sonst gibt es von der Geschäftsleitung kein Geld. "Nur damit die IT technisch auf dem neuesten Stand ist, macht keine Unternehmensleitung Geld locker", bestätigt Hans Lechner, IT-Leiter beim österreichischen Baukonzern Alpine Mayreder.

Best Practice

Projektsteckbrief

Glossar: LDAP

Das Lightweight Directory Access Protocol (LDAP) ist ein Netzprotokoll, das im Rahmen von Verzeichnisdiensten (Directories) zum Einsatz kommt. Es vermittelt die Kommunikation zwischen einem LDAP-Client, zum Beispiel einem Mail-Server, einem Mail-Client oder einem digitalen Adressbuch und dem Directory-Server, aus dem die benutzerrelevanten Daten ausgelesen werden. Im administrativen Sprachgebrauch hat sich mittlerweile der Ausdruck "LDAP-Server" eingebürgert; gemeint ist ein Directory-Server, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das Netzprotokoll LDAPv3 Daten mit Client-Systemen austauschen kann. Das Protokoll bietet alle Funktionen, die für eine solche Kommunikation notwendig sind: Anmeldung am Server ("bind"), Suchabfrage (nach allen Informationen zu einem bestimmten Benutzer) und Modifikation der Daten ("Ändere bitte für den Nutzer Joe User das Passwort"). Neuere Implementierungen berücksichtigen auch die Replikation der Daten zwischen verschiedenen Directories.

Das Unternehmen: Alpine Mayreder

Der weltweit tätige Konzern Alpine Mayreder Bau GmbH mit Hauptsitz in Salzburg wurde 1965 gegründet. Im vergangenen Jahr erzielte er mit rund 9000 Mitarbeitern einen Umsatz von knapp zwei Milliarden Euro. Alpine hat mittlerweile rund 150 Tochtergesellschaften und Beteiligungen. Zu den Kerngeschäftsfeldern gehören Hochbau, Straßen- und Ingenieurtiefbau, Tunnel- und Spezialtiefbau, Kraftwerksbau, Projektentwicklung sowie die Alpine-Energie-Gruppe.

Mehr zum Thema

www.computerwoche.de

568488: Kosten senken mit Identity-Management;

556653: Identity-Management wird zur Chefsache.

Alpine hat eine historisch gewachsene Systemlandschaft im Einsatz, die hohen Verwaltungsaufwand erfordert, darunter diverse Microsoft-Windows-Versionen (NT Server, Server 2003) sowie Server unter Linux. Zudem ist die IT gekennzeichnet durch eine Vielzahl von Web-Anwendungen sowie Office-, Mail- und Backend-Applikationen.

Hinzu kommen die Anforderungen einer reibungslosen Kommunikation zwischen der Zentrale in Salzburg, den rund 90 europaweiten Niederlassungen und anderen externen Stellen. "Viele unserer Mitarbeiter sind in unterschiedlichen Niederlassungen sowie Außenstellen tätig, auch der Anteil an mobilen Arbeitsplätzen etwa auf den Baustellen wächst stetig", erläutert Lechner, "die Kollegen brauchen vor Ort Zugriff auf ihre Daten, Projektpläne, Mails und Drucker - das müssen wir sicherstellen."

In einer derart komplexen IT-Landschaft bedeutete das Identity-Management mit der Benutzer- und Rechteverwaltung eine Herausforderung. Die Vielfalt der IT-Systeme spiegelte sich in einem heterogenen Management-Konzept wider: Etwa 100 NT-Domänen wurden für jeden Standort separat verwaltet. Dazu griff Alpine auf Samba zurück, ein Open-Source-Projekt, das es Linux- oder Unix-Servern ermöglicht, Verzeichnis- und Drucker-Freigaben für Windows-Clients zur Verfügung zu stellen.

Daneben existierte für das Linux-basierende E-Mail-System und den Webproxy-Dienst ein zentrales LDAP-Directory (siehe Kasten "Glossar"). Damit die rund 2500 User im Konzern ortsunabhängig auf ihre Daten zugreifen konnten, mussten sie zum Teil mehrfach angelegt werden - sowohl in der Zentrale als auch in den Außenstellen. Es galt, ihnen entsprechend ihrer Berechtigung die lokalen Ressourcen zuzuordnen. Für jede Applikation, auf die sie Zugriff hatten, mussten sie sich einzeln anmelden.

Sicherheitsrisiko durch schlichtes Vergessen

Beinahe noch problematischer war das Löschen eines Mitarbeiters, wenn er ausschied oder sich seine Berechtigungen änderten. Dazu Lechner: "Es war sehr aufwändig, nachzuprüfen, in welchen lokalen Directories ein User angelegt war." Die Gefahr, Einträge in den unterschiedlichen Systemen zu vergessen, stellte ein Sicherheitsrisiko dar.

Auf der Suche nach einer neuen Lösung

Deshalb beschloss der Baukonzern Mitte des vergangenen Jahres, eine Lösung zu suchen, mit der sich die rund 2500 Windows-2000- und Windows-XP-Arbeitsplätze der Außenstellen in das zentral betriebene LDAP-Directory integrieren lassen würden. Dabei sollte die Server-Landschaft konzernweit auf Linux/Samba bleiben. Darüber hinaus war geplant, das in Salzburg betriebene zentrale Active Directory für Exchange und SQL Server in die heterogene Systemlandschaft zu integrieren - möglichst ohne zusätzlichen Verwaltungsaufwand.

Alternativ hätte Alpine die vorhandenen Verzeichnisse vollständig durch ein zentrales Active Directory ersetzen und damit alle dezentralen Server verwalten können. Doch das zentrale LDAP-Verzeichnis war bereits detailliert aufgebaut; es enthielt sehr viele Hierarchieebenen, in denen die Benutzerprofile und Ressourcen festgelegt waren. "Wir wollten die getätigten Investitionen sichern", sagt Lechner, "zudem haben wir zahlreiche Open-Source-Systeme im Einsatz, und dafür ist LDAP die richtige Lösung."

Folglich sollte der LDAP-Standard als Basis für ein integriertes Identity- und Berechtigungs-Management zum Einsatz kommen. "LDAP bietet zu marktgängigen Systemen Schnittstellen sowohl in die Microsoft-Welt als auch zu SAP, Oracle, unterschiedlichsten Datenbanken, Portalen und Mobile-Interfaces" schwärmt Lechner, "es ist so etwas wie der kleinste gemeinsame Nenner, mit dem wir unsere Landschaft zentral managen können." Darüber hinaus gewähre LDAP aufgrund der großen Community die für den Konzern nötige Zukunftssicherheit.

So entstand also die Idee, eine Meta-Ebene einzuziehen, aus der heraus sich die heterogenen Systeme zentral und ohne Änderungen an der bestehenden Struktur verwalten lassen würden. Bei der Comtarsia GmbH, Wien, und deren Produktfamilie "SignOn" fand Alpine die technische Lösung dafür.

Zwei Welten lassen sich jetzt zentral verwalten

Die Software besteht aus zwei Modulen, dem "Logon Client" und dem "SignOn Gate". Ersteres ist für die direkte Anmeldung am LDAP-Directory zuständig. Es wertet diese Daten bei jeder Anmeldung aus. Das Zusatzprodukt SignOn Gate übernimmt die automatische Benutzerverwaltung auf den Ressourcen-Systemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix).

"Den großen Vorteil dieser Lösung sehen wir darin, dass zwei Welten - in unserem Fall Linux und Windows - miteinander verknüpft und zentral gemanagt werden können", freut sich Lechner. "Ohne zusätzlichen Aufwand" ließen sich nun Open LDAP in der zentralen Benutzerverwaltung, Active Directory für einige Server-Anwendungen und Linux/Samba als FileServer vereinen. Ein Mausklick genüge, um zu wissen was ein Benutzer dürfe und was nicht.

Zudem gefällt dem IT-Spezialisten die Anbieterunabhängigkeit der Comtarsia-Produkte: "Wir können uns bei der Auswahl neuer Lösungen frei am Markt bedienen." Noch ein Vorteil: Die vorhandenen Systeme bleiben eigenständig; es müssen keine Zertifikate untereinander ausgetauscht werden. Das sei wichtig für den Supportfall.

Das historisch gewachsene Directory war zu komplex

Im dritten Quartal des vergangenen Jahres begann der Rollout. Inzwischen sind alle 2500 Arbeitsplätze installiert. Im Logon Client besteht die Möglichkeit, durch Einspielen von LDAP- Schemaerweiterungen die standardmäßigen Benutzer- und Gruppenobjekte durch zusätzliche Attribute zu ergänzen, beispielsweise durch Benutzerverzeichnis- und Benutzerprofilpfad, Drucker- und Laufwerkszuordungen oder Single-Sign-on-Daten. Dazu waren allerdings einige Vorarbeiten nötig. "Das historisch gewachsene LDAP-Directory war in seiner Hierarchiestruktur sehr komplex und ließ sich nicht eins zu eins als zentrale Benutzerverwaltung übernehmen", erinnert sich Lechner. Hier mussten zunächst einfachere LDAP-Strukturen erarbeitet werden. Lechners Rat an alle, die ein Identity-Management-Projekt planen und ihre Benutzerverwaltungs-Datenbanken vereinheitlichen wollen: Definieren Sie zunächst eine Verzeichnisstruktur, die der Verschachtelung der Organisationseinheiten entspricht, und lassen sie nicht mehr Komplexität zu als absolut notwendig!

Durch die Implementierung des einheitlichen Directory-Managements hat Alpine quasi nebenbei ein Single Sign-on umgesetzt. In diesem Zusammenhang empfiehlt Lechner, die Benutzer-IDs in sämtlichen Systemen zu vereinheitlichen: "Das erleichtert die Implementierung."

Die neue Lösung hat den Verwaltungsaufwand deutlich gesenkt und die Management-Qualität verbessert. Nun widmet sich Alpine verstärkt dem Thema Sicherheit: In Zukunft soll die Anmeldung nur noch mittels Smartcard oder Token möglich sein. Die Einführung einer Public Key-Infrastructure (PKI) soll die Sicherheit zusätzlich steigern und den Benutzerkomfort noch einmal erhöhen. (qua)