Die Investitionen in Soft- und Hardware müssen sich positiv in den Arbeitsabläufen niederschlagen - und zwar sichtbar, sonst gibt es von der Geschäftsleitung kein Geld. "Nur damit die IT technisch auf dem neuesten Stand ist, macht keine Unternehmensleitung Geld locker", bestätigt Hans Lechner, IT-Leiter beim österreichischen Baukonzern Alpine Mayreder.

Alpine hat eine historisch gewachsene Systemlandschaft im Einsatz, die hohen Verwaltungsaufwand erfordert, darunter diverse Microsoft-Windows-Versionen (NT Server, Server 2003) sowie Server unter Linux. Zudem ist die IT gekennzeichnet durch eine Vielzahl von Web-Anwendungen sowie Office-, Mail- und Backend-Applikationen.

Hinzu kommen die Anforderungen einer reibungslosen Kommunikation zwischen der Zentrale in Salzburg, den rund 90 europaweiten Niederlassungen und anderen externen Stellen. "Viele unserer Mitarbeiter sind in unterschiedlichen Niederlassungen sowie Außenstellen tätig, auch der Anteil an mobilen Arbeitsplätzen etwa auf den Baustellen wächst stetig", erläutert Lechner, "die Kollegen brauchen vor Ort Zugriff auf ihre Daten, Projektpläne, Mails und Drucker - das müssen wir sicherstellen."

In einer derart komplexen IT-Landschaft bedeutete das Identity-Management mit der Benutzer- und Rechteverwaltung eine Herausforderung. Die Vielfalt der IT-Systeme spiegelte sich in einem heterogenen Management-Konzept wider: Etwa 100 NT-Domänen wurden für jeden Standort separat verwaltet. Dazu griff Alpine auf Samba zurück, ein Open-Source-Projekt, das es Linux- oder Unix-Servern ermöglicht, Verzeichnis- und Drucker-Freigaben für Windows-Clients zur Verfügung zu stellen.

Daneben existierte für das Linux-basierende E-Mail-System und den Webproxy-Dienst ein zentrales LDAP-Directory (siehe Kasten "Glossar"). Damit die rund 2500 User im Konzern ortsunabhängig auf ihre Daten zugreifen konnten, mussten sie zum Teil mehrfach angelegt werden - sowohl in der Zentrale als auch in den Außenstellen. Es galt, ihnen entsprechend ihrer Berechtigung die lokalen Ressourcen zuzuordnen. Für jede Applikation, auf die sie Zugriff hatten, mussten sie sich einzeln anmelden.

Sicherheitsrisiko durch schlichtes Vergessen

Beinahe noch problematischer war das Löschen eines Mitarbeiters, wenn er ausschied oder sich seine Berechtigungen änderten. Dazu Lechner: "Es war sehr aufwändig, nachzuprüfen, in welchen lokalen Directories ein User angelegt war." Die Gefahr, Einträge in den unterschiedlichen Systemen zu vergessen, stellte ein Sicherheitsrisiko dar.

Auf der Suche nach einer neuen Lösung

Deshalb beschloss der Baukonzern Mitte des vergangenen Jahres, eine Lösung zu suchen, mit der sich die rund 2500 Windows-2000- und Windows-XP-Arbeitsplätze der Außenstellen in das zentral betriebene LDAP-Directory integrieren lassen würden. Dabei sollte die Server-Landschaft konzernweit auf Linux/Samba bleiben. Darüber hinaus war geplant, das in Salzburg betriebene zentrale Active Directory für Exchange und SQL Server in die heterogene Systemlandschaft zu integrieren - möglichst ohne zusätzlichen Verwaltungsaufwand.

Alternativ hätte Alpine die vorhandenen Verzeichnisse vollständig durch ein zentrales Active Directory ersetzen und damit alle dezentralen Server verwalten können. Doch das zentrale LDAP-Verzeichnis war bereits detailliert aufgebaut; es enthielt sehr viele Hierarchieebenen, in denen die Benutzerprofile und Ressourcen festgelegt waren. "Wir wollten die getätigten Investitionen sichern", sagt Lechner, "zudem haben wir zahlreiche Open-Source-Systeme im Einsatz, und dafür ist LDAP die richtige Lösung."

Folglich sollte der LDAP-Standard als Basis für ein integriertes Identity- und Berechtigungs-Management zum Einsatz kommen. "LDAP bietet zu marktgängigen Systemen Schnittstellen sowohl in die Microsoft-Welt als auch zu SAP, Oracle, unterschiedlichsten Datenbanken, Portalen und Mobile-Interfaces" schwärmt Lechner, "es ist so etwas wie der kleinste gemeinsame Nenner, mit dem wir unsere Landschaft zentral managen können." Darüber hinaus gewähre LDAP aufgrund der großen Community die für den Konzern nötige Zukunftssicherheit.

So entstand also die Idee, eine Meta-Ebene einzuziehen, aus der heraus sich die heterogenen Systeme zentral und ohne Änderungen an der bestehenden Struktur verwalten lassen würden. Bei der Comtarsia GmbH, Wien, und deren Produktfamilie "SignOn" fand Alpine die technische Lösung dafür.

Zwei Welten lassen sich jetzt zentral verwalten

Die Software besteht aus zwei Modulen, dem "Logon Client" und dem "SignOn Gate". Ersteres ist für die direkte Anmeldung am LDAP-Directory zuständig. Es wertet diese Daten bei jeder Anmeldung aus. Das Zusatzprodukt SignOn Gate übernimmt die automatische Benutzerverwaltung auf den Ressourcen-Systemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix).

"Den großen Vorteil dieser Lösung sehen wir darin, dass zwei Welten - in unserem Fall Linux und Windows - miteinander verknüpft und zentral gemanagt werden können", freut sich Lechner. "Ohne zusätzlichen Aufwand" ließen sich nun Open LDAP in der zentralen Benutzerverwaltung, Active Directory für einige Server-Anwendungen und Linux/Samba als FileServer vereinen. Ein Mausklick genüge, um zu wissen was ein Benutzer dürfe und was nicht.

Zudem gefällt dem IT-Spezialisten die Anbieterunabhängigkeit der Comtarsia-Produkte: "Wir können uns bei der Auswahl neuer Lösungen frei am Markt bedienen." Noch ein Vorteil: Die vorhandenen Systeme bleiben eigenständig; es müssen keine Zertifikate untereinander ausgetauscht werden. Das sei wichtig für den Supportfall.

Das historisch gewachsene Directory war zu komplex

Im dritten Quartal des vergangenen Jahres begann der Rollout. Inzwischen sind alle 2500 Arbeitsplätze installiert. Im Logon Client besteht die Möglichkeit, durch Einspielen von LDAP- Schemaerweiterungen die standardmäßigen Benutzer- und Gruppenobjekte durch zusätzliche Attribute zu ergänzen, beispielsweise durch Benutzerverzeichnis- und Benutzerprofilpfad, Drucker- und Laufwerkszuordungen oder Single-Sign-on-Daten. Dazu waren allerdings einige Vorarbeiten nötig. "Das historisch gewachsene LDAP-Directory war in seiner Hierarchiestruktur sehr komplex und ließ sich nicht eins zu eins als zentrale Benutzerverwaltung übernehmen", erinnert sich Lechner. Hier mussten zunächst einfachere LDAP-Strukturen erarbeitet werden. Lechners Rat an alle, die ein Identity-Management-Projekt planen und ihre Benutzerverwaltungs-Datenbanken vereinheitlichen wollen: Definieren Sie zunächst eine Verzeichnisstruktur, die der Verschachtelung der Organisationseinheiten entspricht, und lassen sie nicht mehr Komplexität zu als absolut notwendig!

Durch die Implementierung des einheitlichen Directory-Managements hat Alpine quasi nebenbei ein Single Sign-on umgesetzt. In diesem Zusammenhang empfiehlt Lechner, die Benutzer-IDs in sämtlichen Systemen zu vereinheitlichen: "Das erleichtert die Implementierung."

Die neue Lösung hat den Verwaltungsaufwand deutlich gesenkt und die Management-Qualität verbessert. Nun widmet sich Alpine verstärkt dem Thema Sicherheit: In Zukunft soll die Anmeldung nur noch mittels Smartcard oder Token möglich sein. Die Einführung einer Public Key-Infrastructure (PKI) soll die Sicherheit zusätzlich steigern und den Benutzerkomfort noch einmal erhöhen. (qua)