computerwoche.de

Archiv

Drei Verzeichnisdienste im Vergleich

Kein Meta Directory ist ganz ohne Mängel

25.06.1999
MÜNCHEN - Die Globalisierung der Wirtschaft fordert IT-Infrastrukturen, die nicht an proprietären Systemgrenzen Halt machen. Als Schlüssel zur unbeschränkten Unternehmenskommunikation gelten Mega-Verzeichnisdienste, über die alle Objekte des Netzes - Benutzerprofile, Systemressourcen und Datenbestände - transparent erreichbar sind. Hadi Stiel* hat die Ansätze von Siemens, Isocor und Control Data unter die Lupe genommen.

Expandierende Intranets und Extranets, Public-Key-Infrastrukturen (PKI) in Verbindung mit Single-Sign-on (SSO) für eine starke Autorisierung: kaum eine dieser neuen Anwendungen kommt ohne einen Directory-Service aus. So wundert es nicht, daß Hersteller wie Novell und Microsoft den systeminternen Verzeichnisdienst als strategische Waffe für den Unternehmenseinsatz herausstellen wollen. Anbieter wie Netscape, IBM, Lotus, Sun und Banyan gehen ihrerseits daran, das systeminterne Directory als Zugang zu den Objekten im Netz stärker zu betonen. Parallel dazu arbeitet die Internet Engineering Task Force (IETF) am Standard Lightweight Directory Access Protocol (LDAP), um die unterschiedlichen Verzeichniswelten zu harmonisieren.

Auf die Koexistenz verschiedener Directories angesprochen, verweisen die Herstellern denn auch unisono auf die aktuelle Version 3.0 von LDAP: Zumindest in der Theorie offeriert dieses Protokoll erstmals die Möglichkeit, Informationen zu Objekten der herstellereigenen Welt in anderen Verzeichnisdiensten abzubilden und umgekehrt. Wie die Directory-Services allerdings zu betreiben sind, das definiert auch die aktuelle LDAP-Version nicht.

Deshalb warnen Experten wie Michael Schmidt, Geschäftsführer der Sornet Gesellschaft für Kommunikations-Dienstleistungen in Bad Camberg, die Anwender davor, zuviel Hoffnung in das Integrationspotential dieser Protokollversion zu setzen. "Den LDAP-3-Services fehlen Synchronisations- und herstellerübergreifende Replikationsmechanismen, die sie bräuchten, um mehrere proprietäre Verzeichnisse unter einen Hut zu bringen", lautet sein Urteil. Zudem seien mit LDAP 3 Syntaxerweiterungen in Form neuer Objektklassen oder Attribute zu Objekten nicht standardisiert definierbar. Die Option, Objektinformationen herstellerübergreifend via LDAP-3-Server abzugleichen, hätten deshalb bestenfalls Anwender, die zwei bis drei Verzeichnisdienste mit jeweils nur einem Verzeichnis-Server betreiben, so die Erfahrung von Geschäftsführer Schmidt.

Einen Ausweg aus diesem Dilemma versprechen sogenannte Meta-Directories. Ihre Aufgabe ist es, die Objektinformationen der darunter angeordneten Verzeichnissysteme abzugleichen und/oder zu replizieren. Vor allem größere Anwender vertrauen auf diesen Ansatz. Müssen sie doch oft sechs und mehr unterschiedliche Directories sowie die Benutzerverwaltung der Großrechnerwelt integrieren. Hersteller wie Siemens mit "Dirx", Isocor mit "Meta Connect" und Control Data mit "Rialto Global Directory" stehen für diese Aufgabe bereits in den Startlöchern. Generell verfolgen die Meta-Directories dieser Anbieter etwa das gleiche Konzept: Die zu integrierenden Verzeichnisse werden über sogenannte Meta-Konnektoren zusammengeführt. Deren Arbeitsweise unterscheidet sich dann aber von Hersteller zu Hersteller.

Expandierende Intranets und Extranets, Public-Key-Infrastrukturen (PKI) in Verbindung mit Single-Sign-on (SSO) für eine starke Autorisierung: kaum eine dieser neuen Anwendungen kommt ohne einen Directory-Service aus. So wundert es nicht, daß Hersteller wie Novell und Microsoft den systeminternen Verzeichnisdienst als strategische Waffe für den Unternehmenseinsatz herausstellen wollen. Anbieter wie Netscape, IBM, Lotus, Sun und Banyan gehen ihrerseits daran, das systeminterne Directory als Zugang zu den Objekten im Netz stärker zu betonen. Parallel dazu arbeitet die Internet Engineering Task Force (IETF) am Standard Lightweight Directory Access Protocol (LDAP), um die unterschiedlichen Verzeichniswelten zu harmonisieren.

Auf die Koexistenz verschiedener Directories angesprochen, verweisen die Herstellern denn auch unisono auf die aktuelle Version 3.0 von LDAP: Zumindest in der Theorie offeriert dieses Protokoll erstmals die Möglichkeit, Informationen zu Objekten der herstellereigenen Welt in anderen Verzeichnisdiensten abzubilden und umgekehrt. Wie die Directory-Services allerdings zu betreiben sind, das definiert auch die aktuelle LDAP-Version nicht.

Deshalb warnen Experten wie Michael Schmidt, Geschäftsführer der Sornet Gesellschaft für Kommunikations-Dienstleistungen in Bad Camberg, die Anwender davor, zuviel Hoffnung in das Integrationspotential dieser Protokollversion zu setzen. "Den LDAP-3-Services fehlen Synchronisations- und herstellerübergreifende Replikationsmechanismen, die sie bräuchten, um mehrere proprietäre Verzeichnisse unter einen Hut zu bringen", lautet sein Urteil. Zudem seien mit LDAP 3 Syntaxerweiterungen in Form neuer Objektklassen oder Attribute zu Objekten nicht standardisiert definierbar. Die Option, Objektinformationen herstellerübergreifend via LDAP-3-Server abzugleichen, hätten deshalb bestenfalls Anwender, die zwei bis drei Verzeichnisdienste mit jeweils nur einem Verzeichnis-Server betreiben, so die Erfahrung von Geschäftsführer Schmidt.

Einen Ausweg aus diesem Dilemma versprechen sogenannte Meta-Directories. Ihre Aufgabe ist es, die Objektinformationen der darunter angeordneten Verzeichnissysteme abzugleichen und/oder zu replizieren. Vor allem größere Anwender vertrauen auf diesen Ansatz. Müssen sie doch oft sechs und mehr unterschiedliche Directories sowie die Benutzerverwaltung der Großrechnerwelt integrieren. Hersteller wie Siemens mit "Dirx", Isocor mit "Meta Connect" und Control Data mit "Rialto Global Directory" stehen für diese Aufgabe bereits in den Startlöchern. Generell verfolgen die Meta-Directories dieser Anbieter etwa das gleiche Konzept: Die zu integrierenden Verzeichnisse werden über sogenannte Meta-Konnektoren zusammengeführt. Deren Arbeitsweise unterscheidet sich dann aber von Hersteller zu Hersteller.

Rialto Global Directory

So vertritt Control Data mit seinem Rialto Global Directory den Grundsatz, daß alle Objekte in den angeschlossenen Verzeichnissystemen verbleiben sollten. Das Meta-Directory hat in dieser Konstellation die Aufgabe, für eine verzeichnisübergreifende Nutzung die logischen Referenzen zwischen einzelnen Objektinformationen herzustellen. Vorteil dieser konsequenten Referenzstrategie: Im Netz entstehen keine redundanten Objektinformationen, die ständig repliziert werden müßten. Der Nachteil: Sind die Objektinformationen nicht lokal vorhanden, müssen sie jeweils über das WAN eingelesen werden, was zu entsprechenden Übertragungsgebühren führt.

Unabhängig davon handelt es sich im vorgestellten Trio um die einzige Lösung, aus der direkt auf die Benutzerprofile der integrierten Verzeichnissysteme zugegriffen werden kann. Auf diese Weise ist der Anwender in der Lage, die Benutzerprofile zumindest in Teilen zentral und wirtschaftlich zu verwalten.

Der Fokus von Rialto liegt auf der Integration von E-Mail-Systemen unterschiedlicher Provenienz. An Verzeichnissystemen integriert das System derzeit nur die Novell Directory Services (NDS) sowie die Betaversion von Microsofts Active Directory. Seit rund einem halben Jahr ist der Hersteller dabei, auf dieser Basis seine Entwicklung in Richtung sichere PKI und SSO auszurichten. Umgesetzt wird diese neue Strategie mit "Rialto Messaging" und speziellen Verzeichnis-Server-Produkten.

Meta Connect von Isocor

Weniger konsequent verfolgt Isocor mit Meta Connect das Prinzip logischer Referenzen. Der Hersteller favorisiert eine Mischung aus Replikation von Objekten und logischen Referenzen zwischen verteilten Objektinformationen unterschiedlicher Verzeichnisse. Ein Mittelweg, der seine Wurzeln in der Produkthistorie hat. Isocor verfügt nämlich erst seit Dezember 1998 über eine Meta-Konnektoren-Technik zur Herausbildung logischer Referenzen. Zuvor hatte sich der Hersteller auf einen Objektdatenabgleich per Replikation, gelöst über das X.500-Protokoll DSP/DISP (Directory System Protocol/Directory Information Shadowing Protocol), konzentriert. Bis zu diesem Zeitpunkt mußten sämtliche Objektinformationen, die in den einzelnen Verzeichnissen gebraucht wurden, auch dort komplett vorgehalten werden. Dieses Verfahren war zwar schnell, führte aber auch zu einer hohen Redundanz. Gleichzeitig bestand die Gefahr, daß bei einer Replikation eventuell nicht alle Objektinformationen zeitgleich aktualisiert wurden.

Isocors Lösung ist mit dem "Netscape Directory Server", den NDS und dem "Lotus-Domino"-internen Verzeichniss kompatibel. Daneben können die Verzeichnisse von Siemens- und Alcatel-TK-Anlagen in Meta Connect eingebunden werden. Inwieweit künftig Directory-Enabled-Networking-(DEN-)Verzeichnisse in die Isocor-Lösung integriert werden,evaluiert der Hersteller gerade. Starke Präsenz zeigt Isocor im Bereich Public-Key-Infrastruktur. Hier pflegt das Unternehmen mit einer ganzen Reihe von Herstellern Partnerschaften, darunter Entrust, Entegrity, GTE Cyber Trust, ID2 und Zergo/Baltimore.

Dirx von Siemens

Eine andere Strategie verfolgt Siemens mit seiner Meta-Directory-Lösung Dirx.

Alle Objektinformationen, die die untergeordneten Verzeichnissysteme nutzen, werden physisch im Meta-Directory hinterlegt. Die angeschlossenen Directories laden diese Informationen dann bei Bedarf herunter. Für diese Vorgehensweise spricht, daß keine Replikation der Objektinformationen erforderlich ist. Zudem kann der gemeinsame Bestand an Objektdaten an zentraler Stelle administriert werden, ohne daß der Benutzer sich dazu, wie bei der Control-Data-Lösung, in die untergeordneten Verzeichnisse einwählen muß. Nur die Daten, die ausschließlich innerhalb einer Verzeichniswelt zum Einsatz kommen, verbleiben dort und sind vor Ort zu verwalten und zu pflegen.

Um die internen Verzeichnissysteme von Netware, Windows NT 4.x, Unix, Lotus Notes, MS Exchange, SAP R/3 und Peoplesoft sowie die ODBC-Datenbanken von Oracle, Informix und Microsoft SQL Server einzubinden, stehen eine Meta-Engine und Meta-Agenten (der Siemens-Begriff für Meta-Konnektoren) zur Verfügung. Sie übernehmen die Synchronisation und Konsolidierung der Objektinformationen nach den herstellerspezifischen Regeln der angeschlossenen Verzeichnissysteme.

Allerdings erweist sich die Siemens-Lösung, trotz herausgestellter X.500-Standardtreue, in größeren Installationen als ausgesprochen proprietär. Auf der anderen Seite hat das Unternehmen in Sachen Integration von TK-Anlagen einen Vorsprung gegenüber der Konkurrenz. Die Verzeichniswelt der hauseigenen Hicom-300-Familie ist via Domain-Management-System in vollem Umfang in Dirx integrierbar. Wie Wettbewerber Isocor zeigt Siemens mit seiner Meta-Directory-Lösung Präsenz in puncto PKI. Für gemeinsame Entwicklungen in diesem Feld pflegen die Münchner Partnerschaften mit Entrust, ID2 und Giesecke & Devrient.

Meta Directories leiden unter LDAP 3

Solche Argumente können aber nicht darüber hinwegtäuschen, daß auch Meta-Directories letztlich von den weiter oben angesprochenen Problemen des LDAP-3-Protokolls betroffen sind. So ist die Meta-Konnektoren-Technik auf Basis dieses Protokolls generell nur mit der Ergänzung eines proprietären Application Programming Interface (API) möglich. Nur darüber können Daten synchronisiert und/oder repliziert werden. Auch der Siemens-Ansatz, zusätzlich zu LDAP 3 das volle DAP-Spektrum (DAP = Directory Access Protocol) zur Integration von Verzeichnissen anzubieten, hilft kaum weiter, da bei DAP Synchronisation sowie Replikationen ebenfalls nicht definiert sind. Zudem wird DAP kaum von einer Workstation unterstützt.

Trotz dieser proprietären Last stehen die Chancen für Meta Directories gar nicht so schlecht, schneller als von IDC prophezeit in heterogenen IT-Umgebungen zum Zuge zu kommen. Schließlich ist eine Kompatibilität zwischen Meta-Directories lediglich in Extranets gefordert, wenn mehrere Unternehmen ihre Überverzeichnisse zusammenführen. Allerdings müssen Hersteller wie Control Data und Isocor noch einige Verzeichniswelten mehr integrieren, damit die Unternehmen ihre installierten Welten einbinden können.

*Hadi Stiel ist freier Journalist in Bad Camberg.