Mit dem Trend zu stärker integrierten Netzen, die neben den klassischen Aufgaben des File- und Print-Sharing allen möglichen Aspekten der modernen Kommunikation wie Mail, Fax etc. gerecht werden, ändert sich die Rolle der Verzeichnisdienste. Im optimalen Fall sollte ein zentrales Directory allen Anwendungen dienen. Wenn also die Unternehmensstrategie für einen globalen Verzeichnisdienst diskutiert wird, dann muß die Gesamtheit der betroffenen Systeme betrachtet werden.

Ein zentrales Directory, bei dem sich Datenbanken oder Messaging-Produkte nicht integrieren lassen, ist eben kein wirklich zentraler Verzeichnisdienst. Zugleich sind aber auch die Einflüsse der Internet-Standards X.509 und LDAP (siehe Kasten) zu berücksichtigen. X.509 bildet die Basis für digitale Zertifikate, LDAP ist für den Zugriff auf Verzeichnisse zuständig. Diese Internet-Ansätze bieten zunehmend die Chance, heterogene Welten zu integrieren.

Verzeichnisdienste sind Datenbanken, in denen Informationen über Benutzer, Gruppen und unterschiedlichste Objekte wie Server, Kommunikationseinheiten und dergleichen mehr gespeichert sind. Den Objekten werden Eigenschaften wie Namen, Tele- fonnummern etc. beigestellt. Welche Merkmale mit einem Ob- jekt verknüpft sind, hängt dabei vom jeweils eingesetzten Verzeichnisdienst ab.

Einen wesentlichen Einfluß auf die Gestaltung moderner Verzeichnisdienste hatten die X.500-Protokolle, die unter anderem eine hierarchische Strukturierung der Directories beschreiben. Es gibt aber auch eine Vielzahl von Services mit einfacheren Strukturen. Beispiele hierfür sind die Benutzerverwaltungen, die sich bei Datenbanksystemen finden. Aber auch das Domänenmodell von Windows NT stellt eine eher einfache Variante dieses Ansatzes dar. State of the art dürfte erst das Active Directory sein, das mit Windows NT 5.0 Einzug in die IT-Welt hält.

Aufgrund der vielen Informationen, die Verzeichnisdienste speichern, haben sie letztlich eine zentrale Bedeutung für das Management der gesamten IT-Landschaft eines Unternehmens. Sie dienen ja nicht nur als Basis für die Netzadministration, sondern auch für die Steuerung vieler Anwendungen. Web-Server, E-Mail-Clients und andere Anwendungen greifen auf sie zu.

Informationen nur einmal pflegenAufgrund der Funktionsvielfalt ergibt sich die administrative Herausforderung, diese Dienste zu zentralisieren. Vorteil: Die Informationen müssen nur einmal im gesamten Netz gepflegt werden. Eine solche einheitliche Pflege ist gleichzeitig die Voraussetzung für Single-sign-on-Strategien, deren Ziel es ist, daß sich ein Benutzer nur einmal am Netzwerk und nicht bei verschiedenen Netzdiensten jedesmal neu anmelden muß.

Ein gutes Beispiel hierfür sind die Server von Netscape. So erfolgt der Zugriff auf den Web-Server benutzerdefiniert. Die Zugriffsrechte der Anwender sind aber nicht direkt auf dem Web-Server festgelegt, sondern werden über das LDAP-Protokoll von einem Verzeichnisdienst erfragt. Die Authentifizierung wiederum erfolgt über das X.509-Protokoll, ein digitales Zertifikat. Bei einer solchen Vorgehensweise ist es letztlich sekundär, welcher Server die Benutzerdefinitionen vorhält:

Es kann sowohl ein Netscape Directory Server als auch ein anderer Server mit entsprechender Protokollunterstützung verwendet werden.

Zugegeben, dieses Beispiel stellt den Idealfall dar. Dennoch sollte sich die Verzeichnisdienststrategie eines Unternehmens an der Zielsetzung eines zentralen Direc- torys orientieren. Wichtig ist bei der Entscheidungsfindung, daß die Betrachtung nicht auf die Directory Services von Novell beziehungsweise Novell und Microsoft beschränkt ist, sondern die gesamte Breite der Problematik erfaßt wird. Nur so lassen sich Fehlinvestitionen vermeiden und wirklich zukunftssichere Strategien entwickeln.

Ein zentraler Verzeichnisdienst setzt aber keineswegs zwingend voraus, daß nur ein einziges Directory existiert. Vielmehr sind hier grundsätzlich zwei Ansätze denkbar:

-die Verwendung eines einzigen zentralen Verzeichnisses, wie es etwa Novell mit den NDS propagiert, oder

-die Verwendung von Meta-Directorys beziehungsweise der Einsatz von Synchronisations- und Replikationsmechanismen zwischen verschiedenen Verzeichnisdiensten.

Jede dieser Vorgehensweisen hat spezifische Vor- und Nachteile. Die erste bietet grundsätzlich den Vorteil, daß die Informationen auch physikalisch nur einmal vorhanden sind. Replikationsprobleme zwischen verschiedenen Verzeichnissen, die insbesondere verschlüsselte Benutzerkennwörter betreffen, entfallen dabei. Den Wunsch nach einem Single-sign-on erfüllt dieses Verfahren dadurch, daß die Anmeldung nur noch an einem Verzeichnisdienst erfolgt.

Diese auf den ersten Blick bestechende Übersichtlichkeit erkauft der Anwender aber mit dem Nachteil, daß die Funktionalität anderer Server-Verzeichnisdienste (etwa E-mail etc.) vollständig nachzubilden ist. So muß beispielsweise die NDS die Funktionalität der Directory Services von Windows NT emulieren, falls sie als alleiniger Standard verwendet wird. Aber nicht nur das: Das Directory hat dies auch für Server-Anwendungen wie Microsoft Backoffice, Lotus Notes, Netscape Enterprise Server oder Unix-Anwendungen zu gewährleisten, wenn es wirklich der einzige Verzeichnisdienst sein soll. Während die "NDS for NT" und die NDS-Portierung auf weitere Plattformen einige dieser Integrationsanforderungen abdeckt, sind für andere Systeme noch keine Lösungen erhältlich.

Das Problem besteht darin, daß für alle potentiellen Clients eine Schnittstelle zum zentralen Verzeichnisdienst erforderlich ist. Gleichzeitig hat dieser die Aufgabe, vollständig die Funktionen aller Verzeichnisdienste der möglicherweise benötigten Server-Anwendungen abzubilden. Wenn neue Clients oder Server auf den Markt kommen, erfordern diese neue Schnittstellen. Angesichts der kurzen Innovationszyklen in der DV-Industrie dürfte dies kaum ein Hersteller schaffen.

Schon die Nachbildung der gängigsten Server-Dienste ist eine Sisyphusarbeit, da durch ihre enge Integration mit dem Verzeichnisdienst oft sehr tiefe Eingriffe in das System erforderlich sind. Das zeigt sich beispielsweise bei der NDS for NT. Während Novell für Windows NT 4.0 noch eine einigermaßen taugliche Lösung realisiert hat, erscheint dies bei NT 5.0 fraglich. Zumal Microsoft in diesem Release mit dem Active Directory eine ganz andere Komplexität schafft. Allein dieses Beispiel belegt, wie unwahrscheinlich es ist, mit einem einzigen Verzeichnisdienst allen Aspekten gerecht zu werden.

Der Traum vom einzigen Directory

Solange sich also nicht ein Di- rectrory Service als dominanter Standard am Markt etabliert, für den die Hersteller von Server-Diensten integrierte Schnittstellen anbieten, dürfte der Wunsch nach einem einzigen Directory ein Traum bleiben. Selbst Novell und Microsoft sind heute von einer solchen Stellung noch meilenweit entfernt.

Novell ist jedoch nicht der einzige Hersteller, der Single-sign-on-Lösungen feilhält. Entsprechende Angebote gibt es beispielsweise von Bull im Rahmen von "Openmaster" oder von Computer Associates als Teil des "CA-Unicenter". Mittlerweile hat auch IBM diesen Markt entdeckt. Mit dem "Global Sign On" (GSO) bietet das Unternehmen derzeit wohl den umfassendsten Ansatz, der sich auf eine Vielzahl von Systemen über Netware, NT, Lotus Notes sowie Peoplesoft bis hin zu AS/400-Anwendungen erstreckt. Allerdings integriert Big Blue nur die Anmeldung durch eine zentralisierte Ablage von Anmeldeinformationen. Im Verzeichnisbereich konzentriert man sich dagegen auf LDAP- und X.500-basierte Directories.

Eine im Vergleich mit den zentralen Directorys vom Schlage der NDS ganz andere Methode ist die Synchronisation von Verzeichnissen. Sie basiert in der Regel auf einem "strategischen" Verzeichnis, in dem die Informationen gepflegt werden. Von dort beziehen die übrigen Verzeichnisdienste Daten wie Benutzerrechte etc. Zu den führenden Herstellern in diesem Bereich zählt Netvision mit seiner "Synchronicity"-Produktlinie. Derzeit verwendet das Unternehmen die NDS als zentrales Verzeichnis, das beispielsweise die Netzdienste von Windows NT, Lotus Notes oder Microsoft Exchange synchronisiert.

LDAP-Unterstützung wird immer wichtiger

Nach Meinung von Bruce Miller, Executive Vice-President von Netvision, werden in Zukunft aber auch das Active Directory von Windows NT 5.0 und andere Verzeichnisdienste mit LDAP-v3-Unterstützung eine wichtige Rolle in der Verzeichnisdienststrategie spielen. Ein weiterer Hersteller in diesem Segment, der sich allerdings - bedingt durch seine Herkunft aus dem Messaging-Markt - insbesondere auf X.500-Verzeichnisse konzentriert, ist Isocor mit dem "Global Directory Server".

All diese Verfahren haben jedoch wiederum den Nachteil, daß sie nur eine begrenzte Zahl von Verzeichnisdiensten unterstützen. Zudem adressieren sie die Problematik des Single-sign-on nicht oder nur eingeschränkt.

Microsoft wiederum fährt eine mehrschichtige Strategie, in der das Active Directory zwar eine zentrale Rolle spielt, aber nicht der alleinige Verzeichnisdienst ist. Auf der einen Seite hat Microsoft mit dem Active Directory Service Interface (ADSI) und dem Security Support Provider Interface (SSPI) zwei Schnittstellen definiert, über die Windows-Anwendungen transparent auf unterschiedliche Verzeichnisdienste zugreifen und auch unterschiedliche Sicherheitsmechanismen nutzen können. Auf der anderen Seite öffnet die Unterstützung von Kerberos, X.509 und LDAP 3.0 in Windows NT 5.0 die Verbindung zu Unix-Systemen sowie der Internet-/Intranet-Welt. Im Bereich des Mainframe-Zugriffs bieten der "SNA-Server" sowie Anwendungen von Drittherstellern Lösungen für ein Single-sign-on. Gleichzeitig spricht die angekündigte, breite Unterstützung des Active Directory etwa durch Netvision oder IBM und Lotus dafür, daß dieser Verzeichnisdienst eine wichtige Position in der Welt der Directory Services sichern wird. Aber auch er deckt keineswegs alle Anforderungen der Anwender ab.

Eine Analyse der verschiedenen Ansätze im Bereich von Verzeichnisdiensten und Single-sign-on-Strategien zeigt, daß kein Hersteller heute eine wirklich umfassende Lösung anbietet. Der Fokus auf nur einen Anbieter bringt in heterogenen Umgebungen zumindest massive Einschränkungen bei der Auswahl der einsetzbaren Produkte mit sich. Insbesondere bei der Replikation und Synchronisation von Verzeichnissen gibt es in der Praxis noch große Lücken.

Zum aktuellen Zeitpunkt kann eine zukunftsweisende Verzeichnisdienststrategie daher nur darauf abzielen, die Komplexität zu reduzieren, ohne sich zu sehr an einen Hersteller zu binden. Das größte Potential für die Zukunft bieten hierbei die offenen Standards X.509 und LDAP.

LDAP, LDIF, X.509 und X.500

LDAP gehört momentan zu den am häufigsten diskutierten Standards. Das Lightweight Directory Access Protocol (LDAP) ist ein Abkömmling des X.500-Protokolls DAP. Über LDAP in der Version 3 kann auf Verzeichnisinformationen zugegriffen werden. LDAP hat sich mittlerweile als Standard etabliert. Die Unterstützung von LDAP 3 haben alle führenden Hersteller von Verzeichnisdiensten und ergänzenden Werkzeugen zumindest für die nächsten Produktversionen angekündigt.

LDAP setzt eine an X.500 orientierte Verzeichnisstruktur voraus. Das X.500-Protokoll definiert Directories, Zugriffe auf die Verzeichnisse und die Authentifizierung. Diese ist in X.509 als Standard definiert und hat sich mittlerweile ebenfalls etabliert. Dabei wird mit digitalen Zertifikaten gearbeitet, die von einer Certification Authority (CA) im Internet oder Intranet ausgegeben werden. Diese Zertifikate identifizieren eindeutig Benutzer oder Systeme.

Wenn solche Zertifikate auf einer Smartcard oder in verschlüsselter Form auf einem sicheren Betriebssystem gespeichert sind, lassen sie sich über die einmalige Eingabe eines Kennworts aktivieren. Damit kann dann auf unterschiedliche Systeme mit den jeweils erforderlichen Zertifikaten zugegriffen werden, ohne daß der Benutzer sich noch einmal anmelden muß.

Das Lightweight Directory Interchange Format (LDIF) ist schließlich ein Austauschformat für Verzeichnisdienste mit LDAP-Unterstützung. Dieses schreibt nur das Format, nicht aber die eigentliche Replikation fest. Das bedeutet in der Praxis, daß auch Replikationsmechanismen, die über LDAP arbeiten, jeweils gesondert für jeden Verzeichnisdienst zu entwickeln sind. Allerdings arbeitet die entsprechende IETF-Arbeitsgruppe an einem LDAP-basierten Replikationsstandard. Er würde die Problematik unterschiedlicher Verzeichnisdienste wesentlich reduzieren.

Martin Kuppinger ist Geschäftsführender Gesellschafter des Beratungsunternehmens IT-Networks GmbH in Ludwigshafen.