LDAP sticht Active Directory

Die Vorgaben zur IT-Gestaltung werden beim Columbus-Projekt von der europäischen Raumfahrtbehörde ESA aufgestellt, in deren Auftrag das DLR das Columbus-Modul steuert. So sieht das ESA-Reglement zum Beispiel vor, dass die Benutzerauthentifizierung ausschließlich über einen zentralen LDAP-Server (Lightweight Directory Access Protocol) abläuft. Im hochkritischen Ops-Netz ist zudem die Anmeldung über Smartcards vorgeschrieben - eine Authentifizierungsmethode, die auch auf das Ops-Support-Netz ausgeweitet werden musste.

Eines der technischen Grundprobleme besteht darin, dass das Ops-Support-Netz eine gewachsene Windows-Domäne ist, wie Harald Stößner, Betreuer des Netzes, erläutert. In einer solchen Domäne will normalerweise der Microsoft-eigene Verzeichnisdienst Active Directory der Master sein. Beim DLR jedoch spielt laut ESA-Vorgabe LDAP diese Rolle, der Windows-Domain-Controller im Ops-Support-Subsystem muss also in die zweite Reihe treten. Dazu Stößner: "LDAP als führendes System mit den Windows-Bordmitteln einzubinden hätte einen enormen Aufwand und viel manuelles Eingreifen erfordert." Auch die Integration der Smartcards wäre sehr komplex gewesen.

Deshalb war eine Lösung gefragt, die drei Welten miteinander verbinden kann: das Active Directory der Windows-Domäne, die zentralen LDAP-Services und die Authentifizierung über Smartcards. Dazu Jürgen Fein, zuständig für die operationellen Abläufe im DLR-Kontrollzentrum: "Das bestehende Active Directory auszutauschen war keine sinnvolle Option. In der Windows-Domäne laufen zum Teil wichtige Tools der Nasa, die für Windows konzipiert wurden und diese Infrastruktur voraussetzen."

Wo es Anpassungbedarf gab

Auswahl und Evaluierung einer geeigneten Brücke zwischen den Systemwelten konnten sorgfältig angegangen werden, da die Vorgaben frühzeitig bekannt waren. "Viel Auswahl gab es nicht", erinnert sich Stößner, "wir haben nur ein Produkt gefunden, das allen unseren Anforderungen gerecht wird." Dabei handelte es sich um "SignOn Gate" von der Comtarsia IT Services GmbH, Wien.

Um die Lösung zu evaluieren, wurde zunächst ein Backup-Kontrollraum damit ausgestattet. Das DLR-Kontrollzentrum ist in der glücklichen Lage, neue IT-Lösungen während der Aus- und Weiterbildung der Flight Controller in praxisnahen Simulationen des Normalbetriebs testen zu können. Im Testbetrieb stellte sich heraus, wo die Lösung noch an den individuellen Bedarf anzupassen war.

Das betraf beispielsweise den Einsatz mehrerer PCs am selben Arbeitsplatz: Wegen der strikten Trennung der Netze arbeiten die Flight Controller der DLR jeweils mit drei Rechnern, von denen jeder einem Netz fest zugeordnet ist. Bei der Authentifizierung mittels Smartcard wird normalerweise ein Benutzer abgemeldet oder der PC gesperrt, sobald die Karte aus dem Lesegerät entfernt wird. Im Kontrollzentrum melden sich die Benutzer aber mit einer einzigen Karte an allen Maschinen an. Zudem dient sie als Zugangskontrolle zu den Flight-Control-Räumen und zu den Gebäuden.

Deshalb muss der Nutzer auch nach Entnahme der Karte im Ops-Support-Netz angemeldet bleiben. "Innerhalb unseres Sicherheitskontexts mit strengen, mehrstufigen Zugangskontrollen und physikalisch getrennten Netzen können wir das tolerieren", erläutert Fein, "im hochsicheren Ops-Netz, in dem die Steuerung des Columbus-Moduls läuft, wäre es hingegen nicht möglich." Der Softwareanbieter Comtarsia setzte die Funktionen für das Ops-Support Netz um.