computerwoche.de

Archiv

Network Directory Services

Der Directory-Markt ist in zwei Lager gespalten

14.07.2000
Die Vorzüge von Verzeichnisdiensten sind erwiesen. Die Entscheidung für das eine oder andere Produkt kommt jedoch einem Glaubensbekenntnis nah. Der Markt ist in X.500-Lösungen und Ansätze geteilt, die sich an LDAP (Lightweight Directory Protocol) orientieren. Hadi Stiel* zeigt Vor- und Nachteile beider Strategien auf.

Eigentlich ist die Zeit längst reif für Meta-Directories. Versprechen sie doch, die Verzeichnisse vieler installierter Systeme wie etwa E-Mail-Dienste, (Netzwerk-)Betriebssysteme, Anwendungen und Datenbanken zu integrieren. Der Lohn dieses Ansatzes: Die immer komplexeren DV-Landschaften lassen sich unter zentraler Regie transparent und wirtschaftlich administrieren. Nutznießer dieses Integrationsansatzes wären nicht nur die Anwender in den Unternehmen, sondern auch die Application-Service- Provider (ASPs), die das Management der Kundenanwendungen übernehmen wollen.

Diese Vorteile bieten Meta-Directories zumindest in der Theorie. In der Praxis besteht dagegen das Problem, dass sich zum Leidwesen der Anwender heute kein Management-Hersteller in der Verantwortung sieht, in Richtung Meta-Directory die Initiative zu ergreifen.

Die Nachteile des fehlenden Meta-Directory-Engagements dieser Hersteller spüren vor allem die Anwender. Sie kämpfen aufgrund der fehlenden beziehungsweise mangelnden Integrationsintelligenz in vielen Bereichen mit der Administration ihrer Plattformen. Bereiche, zu denen auch Disziplinen zählen, die derzeit mit viel PR- und Marketing-Getöse adressiert werden:

-Applikations-Management,

-Service-Level-Management,

-Sicherheits-Management,

-Directory Enabled Networking (DEN) sowie

-Application-Service-Provider (ASPs).

"Die Logik dahinter ist einfach", konstatiert Jürgen Spitzner-von der Haar, beim Kommunikationsdienstleister Sornet in Bad Camberg verantwortlich für den Bereich Verzeichnisdienste. "Ohne die Integration der strategischen Zielsystemverzeichnisse kommen die Zukunftstechnologien erst gar nicht richtig ins Laufen." Spitzner vermisst vor allem Punkte wie benutzer- und gruppenspezifische QoS- und Sicherheitsregeln, dazu Objektinformationen zu Benutzern, Systemressourcen, Systemkonfigurationen und Datenbeständen. Ohne deren Integration, so seine These, sind in Zeiten von Intranets, E-Business und E-Commerce durchgehende, das heißt systemübergreifende, Geschäftsprozesse nicht realisierbar.

Zumal der Ansatz, wie beim Sicherheits-Management auf proprietäre Verzeichnisintegrationsverfahren zu setzen, den Unternehmen nur bedingt weiterhilft. "Über diese spezifischen Agenten ist die Verzeichnisintegration lediglich innerhalb einer Disziplin gelöst", gibt der Sornet-Mitarbeiter zu bedenken. Ferner fehlten Herstellern wie IBM/Tivoli, Computer Associates, BMC und Bullsoft die Agenten zur Integration der strategischen Unternehmensanwendungen und Datenbanken. Darüber hinaus bemängelt Spitzner, dass sich die Anwender über proprietäre Integrationsverfahren sklavisch an das Sicherheitsprodukt-Portfolio eines Herstellers binden.

LDAP greift in der Praxis zu kurzGleichzeit warnt der Directory-Experte davor, sich von dem Commitment zum Light-Weight Directory Access Protocol (LDAP), Version 3, blenden zu lassen, da es in seinen Augen zu kurz greift, wenn es um das Ziel einer zentralen, systemübergreifenden Benutzeradministration geht. "LDAP3 fehlten per Definition die Replikations- und Synchronisationsmechanismen, um die Verzeichnisinformationen gezielt zu replizieren und verteilt stets auf dem aktuellen Stand zu halten", argumentiert er. Eine Situation, die sich in Zukunft sicher noch zuspitzen wird. Mit der Flut an daten- und WAP-fähigen Applikationen via Mobilfunknetze steigen nämlich die Anforderungen an die Verzeichnisintegration in allen Management-Disziplinen.

"In dieser Ausgangsposition mögen sich die Hersteller von Management-Systemen jeglicher Couleur noch so lange wehren, den in der Planung und Umsetzung aufwändigen Meta-Directory-Ansatz in Angriff zu nehmen", ist Robert Heinrich, bei Arthur Andersen in Eschborn verantwortlich für Technology Risk Consulting, überzeugt, "die Zukunftsprobleme aller Management-Disziplinen können sie nur über mehr Meta-Directory-Engagement meistern. "Wer dabei zu spät auf den Verzeichniszug aufspringt, ziehe im Markt dann schnell den Kürzeren.

Warum die Management-Hersteller in Sachen Verzeichnisintegration mauern, bleibt ein Rätsel. Zumal Meta-Directory-Hersteller wie Siemens mit "Dirx", BT/Syntegra mit "Rialto" (vormals von Control Data), Critical Path mit "Meta Connect" (vormals von Isocor) und die Sun Netscape Alliance als I-Planet mit "Meta Directory" innerhalb eines Jahres kräftig bei ihren Meta-Konnektoren - einer Kombination aus LDAP3-Schnittstelle und proprietärem Application Programming Interface (API) - hinsichtlich der Integration der Zielverzeichnisse zugelegt haben. "Sie bieten mittlerweile nicht nur für alle wichtigen E-Mail-Dienste und (Netzwerk-)Betriebssysteme, sondern auch für viele unternehmensstrategische Anwendungen und Datenbanken Konnektoren an", registriert Verzeichnisdienstspezialist Spitzner. Unterstützt das Zielsystem LDAP3 nicht, wie viele Datenbanksysteme, so kommen innerhalb dieser Meta-Directory-Lösungen alternativ ein Object Data Base Connector (ODBC) oder auch ASCII-Code als Kommunikationsprotokoll zum Zuge. Auf diese Weise haben viele Meta-Directory-Hersteller selbst Meta-Konnektoren zur Einbindung von TK-Anlagen-internen Verzeichnissen im Angebot.

Neben den genannten Herstellern sind mittlerweile auch die Anbieter von Netz-Betriebssystemen in Richtung Meta-Directory aufgebrochen. Novell etwa arbeitet mit dem E-Directory und Dir XML an einer entsprechenden Variante. Microsoft dagegen will mit Via (vormals von Zoomit) bis Ende dieses Jahres mit einem Überverzeichnis aufwarten. Dieses verfügt voraussichtlich über die gleichen Meta-Konnektoren wie vormals die Zoomit-Lösung. Auf Active Directory im Kern, so die Intention von Microsoft, wird Via freilich nicht vor 2002 umgestellt.

Allen Meta-Directory-Lösungen gemeinsam ist, dass damit, anders als mit einem LDAP3-Server, das Replikations- und Synchronisationsproblem gleich mit gelöst wird. Bei den X.500-basierten Meta-Directories von Siemens, BT/Syntegra und Critical Path ist das Directory Information Shadowing Protocol (DISP) für die gezielte Replikation der Verzeichnispartitionen auf den Servern verantwortlich. Die Synchronisation der sowohl im Meta-Directory als auch in den Zielsystemen hinterlegten Verzeichnisinformationen bewerkstelligen die herstellerspezifischen APIs. Sie übernehmen quasi die Übersetzung zwischen den unterschiedlichen Strukturen und Objekten. Eine Aufgabe, an der vor allem zwei Protokolle beteiligt sind: Das Directory Operational Binding Management Protocol (DOBMP) übernimmt die Authentisierung zwischen den Meta-Directory-Servern für eine gesicherte Übertragung. Den eigentlichen Transfer der Verzeichnisinformationen zwischen den Servern bewerkstelligt das Directory System Protocol (DSP).

Die bestechende Funktionsvielfalt der X.500-basierten Directories erkauft sich der Anwender jedoch mit einem gravierenden Nachteil: Ihre Implementierung ist in der Praxis komplex und erfordert im Vorfeld einen nicht zu unterschätzenden Consulting-Aufwand. Einfacher erscheint dagegen die Installation eines Verzeichnisdienstes, der sich auf LDAP3 stützt. Hierzu zählen etwa die Produkte von I-Planet, Novell oder Microsoft mit Zoomit. Allerdings hat die Sache einen Haken: Aufgrund der fehlenden Replikations- und Synchronisationsmechanismen müssen die Hersteller auf eigene proprietäre Protokollerweiterungen ausweichen. Von diesem Manko abgesehen, bewertet Consultant Heinrich den I-Planet-Ansatz sowie die Novell-Lösung als viel versprechend. So hat I-Planets Erweiterung gute Chancen in den IETF-Standard (Internet Engineering Task Force) einzugehen. Bei Novell gefällt Heinrich der konsequente Weg in Richtung XML (Extended Markup Language): "Mit dieser Web-Metasprache lassen sich nicht nur Directory-Informationen als standardkonforme Objekte in der E-Directory-Datenbank ablegen. XML kann zudem als Middleware und zur flexiblen Ausgestaltung von Web-Seiten zur Präsentation der Verzeichnisinformationen an den Web-Clients dienen."

Mit dem Problem der proprietären Erweiterungen haben jedoch nicht nur die Hersteller von LDAP3-basierten Produkten zu kämpfen. Glaubt man Heinrich, so halten sich auch die Anbieter von Lösungen auf X.500-Basis nicht immer sklavisch an den Standard. Zwar bereitet dies heute in den Unternehmensnetzen noch keine Probleme, da das Meta-Directory über allen installierten Verzeichnissen sitzt. Zu Schwierigkeiten könnte es jedoch in der Zukunft kommen, wenn in einem E-Business-Verbund verschiedene Meta-Directories miteinander kommunizieren müssen.

Die drei Meta-Directory-Ansätze, die auf LDAP3-Protokollerweiterungen bauen, zeichnen sich also dadurch aus, dass sie ohne die Komplexität der X.500-Protokollwelt auskommen. Damit dürfte ihr Einsatz wesentlich schneller geplant und umgesetzt sein. Deshalb sieht Spitzner mit diesen schlankeren Überverzeichnissen eine neue Generation heranreifen, die endlich mehr Bewegung in die Verzeichnisintegrationsstrategie der Hersteller von Management-Systemen bringen könnte.

*Hadi Stiel ist freier Journalist in Bad Camberg.