Es ist unbestreitbar, dass Directory-Services Netzwerkbenutzern und Administratoren viele Vorteile bieten: So lassen sich Netzwerkobjekte unternehmensweit effizient und von einem zentralen Standort aus verwalten. Und Informationen über User, Gruppen, Computer, Drucker, Anwendungen und Dateien stehen, sofern sie erst einmal im Verzeichnis eingetragen sind, im gesamten Netzwerk zur Verfügung. Dabei können diese Verzeichnisse sowohl die Organisationsstruktur des Unternehmens abbilden als auch nach beliebigen anderen sinnvollen Objektklassifizierungen strukturiert werden.
Ein Riesenfortschritt: Benötigte der Anwender früher für den Zugriff auf Datei- und Drucker-Ressourcen ein Netzwerk-Benutzerkonto, für die Teilnahme am Messaging-Dienst über einen extra Mail-Account und für die Fähigkeit, Faxe senden und empfangen zu können, ein Konto in der Faxanwendung, so reicht heute ein einziges Benutzerkonto im Meta- Directory aus. Informationen wie E-Mail-Adressen, Telefon- und Faxnummern werden im Metaverzeichnis als Werte spezifischer Benutzerattribute gespeichert. Diese Daten gewinnt das Meta-Directory wiederum aus den einzelnen Verzeichnissen der Applikationen.
Zwei Probleme müssen gelöst werdenSchöne heile (Verzeichnis-)Welt? Nicht ganz. Zwei Probleme sind auf Anhieb zu nennen. Das einfachere zuerst: Damit die im Verzeichnis gespeicherten Informationen, beispielsweise die E-Mail-Adressen, einen Mehrwert bieten, müssen Anwendungen eingesetzt werden, die mit dem Verzeichnis zusammenarbeiten. Normalerweise wird sich hier aber für fast jeden denkbaren Zweck mindestens eine geeignete Anwendung finden lassen. Wer Windows 2000 mit Active Directory implementiert, findet beispielsweise mit Exchange 2000 eine geeignete Messaging-Plattform, die Active Directory und die darin gespeicherten Informationen nutzt.
Das zweite - größere - Problem offenbart sich, wenn der Anwender etwa auf Exchange 2000 als Unternehmens-Messaging-Plattform setzt, aber anstelle einer Active-Directory-Umgebung die Novell Directory Services einsetzt. Leider kann Exchange 2000 mit Informationen, die in Novells Verzeichnisdiensten gespeichert sind, wenig anfangen. Dieser Umstand führt zu einer Situation, die heute für die meisten mittleren bis großen Unternehmensnetze typisch ist: Es entstanden heterogene Umgebungen. Das gleiche Problem noch einmal in anderen Worten: In vielen Corporate Networks sind die Systeme herstellerorientiert implementiert und teilen sich ein gemeinsames Verzeichnis. Novell und Partnerfirmen dieses Herstellers verwenden zum Beispiel die NDS, während Microsoft und Partner NT-Domänen- oder Active-Directory-fähige Anwendungen nutzen. Dieser Ansatz erleichtert das Management mehrerer Server desselben Herstellers enorm - alle Netware-Server lassen sich über die NDS verwalten und alle NT- oder Windows-2000-Server über NT-Domänen oder Active-Directory. Auf der anderen Seite erhöht er wiederum die Komplexität der Administration. Weil die verschiedenen Lösungen nicht ohne weiteres miteinander kooperieren, verwalten die DV-Abteilungen nicht selten einen oder mehrere NDS-Bäume, verschiedene NT-Domänen, Active-Directory-Strukturen und möglicherweise Unix-, Microsoft-Exchange- und/oder Lotus-Notes-Verzeichnisse getrennt voneinander.
Auf diese Weise werden die eingangs erwähnten Vorteile, die Directory-Services bieten, wieder zunichte gemacht. Zwar setzt das Unternehmen Verzeichnisdienste ein, doch hat es gleich mehrere zu administrieren. Genau hier kommen Meta-Directories ins Spiel, die alles wieder ins Lot bringen.
Das Konzept eines Meta-Directories ist relativ einfach: Es konsolidiert Informationen aus verschiedenen Quellen in einem einzelnen übergeordneten Verzeichnis, wobei als mögliche Quelle vor allem andere Verzeichnisse in Frage kommen. Veränderungen dieser Informationen meldet es umgekehrt wieder zurück an die verwalteten Quellen. Einige dieser Informationsquellen, beispielsweise Betriebssysteme und Applikationen, enthalten relativ einfache Konten-Management-Systeme, andere wiederum, etwa Messaging-Server-Verzeichnisse, sind deutlich komplexer aufgebaut. Entsprechend schwierig ist es, sämtliche Informationen, die in verschiedenen Directories gespeichert sind, synchron zu halten.
Gelingt es dem Meta-Directory diese Anforderung zu erfüllen, sind die meisten Vorteile, die die jeweiligen einzelnen Verzeichnisse einer Anwendung bieten, sofort wieder nutzbar. Das Meta-Directory bietet zudem unter anderem einen Single Point of Administration, sodass neue Einträge oder Änderungen an bereits existierenden Einträgen an einem zentralen Standort nur ein einziges Mal eingegeben werden müssen, um automatisch in allen verbundenen Verzeichnissen zu gelten. Ein weiterer Vorteil ist der Single Point of Access", der aus nahezu jeder beliebigen Umgebung einen universellen Zugriff auf alle Daten gewährleistet. Den Zugriff auf die konsolidierten Informationen ermöglicht ein Meta- Directory normalerweise via LDAP (Light-Weight Directory Access Protocol), X.500, das Web, WAP und andere Standard-Schnittstellen.
Eine der üblichsten Verwendungen von Meta-Directories ist, wie bereits erwähnt, die Synchronisation von Benutzerinformationen über verschiedene Netzwerk-Betriebssysteme und Enterprise-Messaging-Verzeichnisse hinweg. Ambitioniertere Ausführungen, beispielsweise das Dirx Meta-Directory von Siemens, bieten noch weitere Einsatzmöglichkeiten. So synchronisieren sie die Daten gleich mit Personalinformationssystemen etwa von SAP oder Peoplesoft, Nebenstellenanlagen (PBX = Private Branch Exchange) und anderen Informationsquellen, um den Fluss der Benutzer- und Objektinformationen vollständig zu automatisieren.
Auf der nächsten Stufe sind dann einzelne für bestimmte Zwecke und/oder Plattformen entwickelte Directory-Services mit einbezogen, etwa Netzwerk-Betriebssystem-Directory-Services wie Novells NDS oder Microsofts Active Directory. Auf diese Weise fließen in das Verzeichnis Informationen ein, die eher auf der Netzwerkebene angesiedelt sind. Ein Beispiel hierfür sind die IP- und DNS-Management-Daten, die die NDS oder Active-Directory-Services anlegen.
Meta-Directories sind aber keineswegs auf den Einsatz in lokalen Netzen beschränkt. Das Unternehmen Tradelink in Hongkong, ein Service-Provider für elektronische Handelstransaktionen der Regierung von Hongkong, setzt etwa das Meta-Directory von Siemens innerhalb einer Internet-E-Commerce-Solution ein. Das Directory dient bei dem internationalen Handelsunternehmen als zentraler Punkt für den Zugriff auf Informationen und zur Veröffentlichung von Public Keys (X.509v3-Zertifikate). Die Realisierung einer solchen E-Commerce-Lösung erfordert für die Public-Key-Infrastruktur (PKI) eine Zertifizierungsstelle. Diese hat die Aufgabe, digitale Zertifikate zur Signatur und Verschlüsselung der Handelspapiere herauszugeben, um so die Sicherheit und Authentizität der Kommunikation zu gewährleisten.
Nach Meinung von Jürgen Biermann, Geschäftsführer der IC-Consult, Bereich Verzeichnisdienste, der die Dirx-Meta-Directory-Lösung in Hongkong realisiert hat, spricht für die Nutzung eines Verzeichnisdienstes auf Basis des LDAP-3-Standards und des X.500-Informationsmodells vor allem die hohe Verfügbarkeit des Dienstes für lesende Zugriffe. "Und diese zwingende Voraussetzung für PKI-Strukturen", so Biermann, "ermöglichen die Replikationsmechanismen ohne aufwändiges Clustering." Ein weiterer Vorteil ist für den Consultant die Skalierbarkeit aufgrund der flexibel konfigurierbaren LDAP-Server. Neben den Zertifikaten zur Signierung und Verschlüsselung der Import- und Export-Handelspapiere verwaltet Tradelinks Meta-Directory die dazugehörigen Vertragspapiere, Exportlizenzen sowie die E-Mail-Adressen, Firmenzugehörigkeiten und Telefonnummern der beteiligten Personen.
Wer braucht Meta-Directories?Das Beispiel Tradelink beantwortet auch die Frage, wer Meta-Directories braucht: Beinah jede Organisation, die ein mittleres bis großes Unternehmensnetzwerk effizient nutzen und administrieren will, profitiert von einem umfassenden Verzeichnisdienst. Zumal wenn man unterstellt, dass bei Netzwerken dieser Größenordnung Informationen nicht nur in einem, sondern gleich in mehreren Verzeichnissen gespeichert sind. Die Rede ist hier nicht nur von unterschiedlichen E-Mail-Directories, sondern auch von anderen anwendungsspezifischen Verzeichnissen wie:
-Sämtliche X.500-Directories,
-LDAP-Directories (Netscape etc.),
-Netzwerk-Betriebssystem-Directories (Active-Directory, NDS etc.),
-E-Mail-Directories (Exchange, Lotus Notes etc.),
-Personaldatenbanken (SAP, Peoplesoft etc.),
-relationalen Datenbanken (via ODBC-Schnittstelle) sowie
-anderen Verzeichnissen (PBX, CTI-Anwendungen etc.).
Wer es also mit zwei oder mehr dieser Verzeichnistypen zu tun hat und Benutzern und Administratoren Daten einheitlich präsentieren will, kommt an einem Meta-Directory nicht vorbei. Zumal für diesen Ansatz Punkte wie Echtzeitzugriff auf Daten, zentrale und lokale Administration sowie ein Single Point of Administration sprechen.
Synchronisieren oder Zusammenführen?Hinsichtlich der Implementierung eines Meta-Directorys sind zwei Ansätze zu unterscheiden: Zusammenführung oder Synchronisation. Bei einfachen Meta-Directory-Implementierungen spricht vieles für ein Zusammenführen der Verzeichnisse. Gerade für den Bereich von NDS- und Windows-NT/Exchange-Benutzern gibt es hier verschiedene Produkte, die einen solchen Ansatz ohne viel Mühe gestatten. Große Organisationen bekommen bei ihren Bemühungen, unterschiedliche Verzeichnisse zusammenzuführen, allerdings nicht selten Probleme technischer und politischer Natur.
Für diese Klientel erweist sich der Synchronisationsansatz als der praktikablere: Meta-Directories reflektieren Ereignisse des wirklichen Geschäftsalltags, beispielsweise die Einstellung eines neuen Mitarbeiters. Ein Vorgang der zahlreiche Aktionen wie einen neuen Eintrag in die Personaldatenbank, die Einrichtung eines neuen Server-Kontos, eines neuen E-Mail-Kontos, eines neuen PBX-Eintrags etc. zur Folge hat. Soll nun das Meta-Directory die Integration dieser Informationen in die verschiedenen Verzeichnisse automatisieren, dann bedeutet das einerseits, dass mitunter sensitive politische Grenzen in der Organisation überschritten werden, und andererseits, dass ein Weg zu finden ist, sensitive Informationen, extra persönliche Daten, zu schützen. Das erste Problem lässt sich nur durch das Management des Unternehmens oder der Organisation lösen, das zweite durch genaues Prüfen der Sicherheitsfunktionen der in Frage kommenden Meta-Directory-Lösungen.
Allerdings birgt die Synchronisation auch eine Stolperfalle: Viele Informationen, die unter der Hoheit des Meta-Directorys zusammengeführt werden, besitzen oft keinen gemeinsamen Schlüssel. Falls eine Organisation nicht behutsam eindeutige User-IDs für jede einzelne Person gepflegt hat, dann ist ein einzelner Benutzer im schlimmsten Fall in jedem Verzeichnis durch einen anderen Namen repräsentiert. Mit der Synchronisation der Informationen ist es in diesem Fall nicht mehr getan. Die einfache Synchronisation besteht aus einem relativ geradlinigen Kopieren von Verzeichnisobjekten und dazugehörigen Informationen aus einem Verzeichnis in ein oder mehrere andere Verzeichnisse. Jedoch erledigen das nur wenige Installationen ohne Schwierigkeiten.
Der Schlüssel zum Erfolg ist hierbei die Eindeutigkeit der Attribute. Die Mühe, die sich eine Organisation beispielsweise mit der Etablierung eindeutiger Benutzernamen innerhalb der gesamten Organisation macht, beeinflusst direkt, wie einfach oder wie kompliziert die Directory-Synchronisation ist. Im besten Fall entspricht der Benutzer "PMeier" eines spezifischen NDS-Kontextes demselben "PMeier" in einer Ziel-Windows-NT-Domäne. Dann unterstellt die Synchronisationssoftware, dass der Benutzer in beiden Verzeichnissen identisch ist und wird Informationen dazwischen replizieren.
Was geschieht aber, wenn die Namen kollidieren? Synchronisationssoftware erlaubt es dem Administrator zu spezifizieren, was dann zu tun ist: etwa das Zielobjekt ersetzen, ein neues Objekt mit einem neuen Namen erzeugen oder einen Fehler generieren. Keine besonders überzeugende Lösung.
In den meisten mittleren bis großen Unternehmen gestaltet sich die Situation komplex, und zwischen den verschiedenen eingesetzten Systemen kommt es häufig zu Namenskollisionen. "Erwachsene" Meta-Directories gehen deshalb anders vor. Statt der Synchronisation verwenden sie eine Methode, die unterschiedliche Attribute unter einer logischen Repräsentation des Benutzers zusammenführt. Auf diese Weise lassen sich dann auch Objekte mit verschiedenen Namen verbinden. Diese Verbindung bietet einen einzelnen logischen Punkt für den Zugriff auf Benutzerinformationen. Sie ist gewissermaßen der Klebstoff, der das Benutzerobjekt mit den verschiedenen existierenden Verzeichnissen verknüpft. Sind die Objekte zusammengeführt, dann meldet das Meta-Directory alle Änderungen an die Verzeichnisobjekte weiter.*Dirk Jarzyna ist Journalist in München und Autor mehrerer Networking-Bücher.
Abb1:Verbindung zu anderen Systemen
Vom Handy über Kassenterminal bis hin zur Datenbank sollen Meta-Directories die verschiedensten Informationen speichern. Quelle: Siemens
Abb2:Einsatzszenario
Das Meta-Directory konsolidiert die Informationen aus anderen Verzeichnissen wie Personaldatenbank oder Telefonanlage (PBX). Quelle: Siemens