Entwicklung eines Konzepts zur Einführung eines Verzeichnisdienstes im Rahmen des Single-Sign-On-Gedankens in einem heterorgenen Netzwerk und dessen prototypische Umsetzung
- Art: Diplomarbeit
- Autor: Björn Eickhoff
- Abgabedatum: Juni 2004
- Umfang: 131 Seiten
- Dateigröße: 3,1 MB
- Note: 1,7
- Institution / Hochschule: Fachhochschule für die Wirtschaft Hannover Deutschland
- ISBN (eBook): 978-3-8324-4086-2
-
ISBN (Paperback) :
978-3-8324-4086-2 P - ISBN (CD) :978-3-8324-4086-2 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Eickhoff, Björn Juni 2004: Entwicklung eines Konzepts zur Einführung eines Verzeichnisdienstes im Rahmen des Single-Sign-On-Gedankens in einem heterorgenen Netzwerk und dessen prototypische Umsetzung, Hamburg: Diplomica Verlag
- Schlagworte: Meta Directory, Mitarbeiter Provisionin, Return on Investment, Migrationskonzept, Identity Management
In den Warenkorb
38,00 €
Diplomarbeit von Björn Eickhoff
Einleitung:
Diese Arbeit beschäftigt sich mit der Erstellung eines Konzepts zur Einführung eines Verzeichnisdienstes im Rahmen des Single-Sign-On-Gedankens in dem heterogenen Netzwerk der hagebau und dessen prototypische Umsetzung. Jeder Anwender in der hagebau-Zentrale erhält zu jedem der vielen Systeme jeweils ein Benutzerkonto und ein Kennwort. Diese unterschiedlichen Systeme führen jeweils eine separate Benutzerverwaltung und das führt zu einem Mehraufwand an Verwaltung für Administratoren und Anwender.
Beginnend mit der Auswahl dreier Verzeichnisdienstanbieter aufgrund der Marktposition, wird der Verzeichnisdienst von einem Anbieter konzipiert. Jeder dieser Anbieter verfolgt einen anderen Ansatz, bei denen sich zwei konkurrierende Richtungen herauskristallisieren. Der proprietäre Ansatz mit Microsoft Active Directory als Hauptvertreter, der offene Ansatz mit OpenLDAP und ein Intermediärer mit Novell eDirectory, der beide Richtungen verbindet. Um den geeigneten Anbieter herauszufinden, wird eine Liste mit gewichteten Kriterien aufgestellt. Basierend auf diesem gewichteten Vergleich wird das Novell eDirectory ausgewählt, da es alle für den produktiven Kern der hagebau-Zentrale erforderlichen Basisanwendungen unterstützt.
Auf diesem ausgewählten Verzeichnisdienst werden mehrere Konzepte erstellt. Zum einen ein Phasenkonzept über die Migration, zum anderen ein Konzept über die Aufstellung einer unternehmensweiten Sicherheitsrichtlinie. Weiterhin wird eine Namenskonvention erstellt und die Migrationspläne der Systeme in eine chronologische Ordnung gebracht. Der Prototyp wird mitsamt den zu konnektierenden Systemen geplant. Abschließend wird ein spezieller Teil dieses prototypischen Entwurfs in einem Testsystem realisiert. Für ein Single Sign-On ist zusätzlich eine Clientsoftware auf dem Client nötig, der aufgrund der Infrastruktur sich an dem bereitgestellten Verzeichnisdienst und auch automatisch an den berechtigten Anwendungen anmeldet.
Für viele angebotene Dienstleistungen wird mittlerweile ein eigenständiger Ausweis zur Identifikation benötigt. Denken wir an die vielen Rabatt-, Kunden-, Mitglieds-, Kredit-, EC- und Bankkontokarten und -Ausweisen und den jeweiligen dazugehörigen PIN. Die Sammlung solcher Ausweise wuchs in den letzten Jahren für jeden Inhaber und damit stieg auch der Aufwand für deren Verwaltung.
Gleichermaßen verhält es sich in elektronischen und heterogenen Netzwerken. Bei jeder Anwendung, jedem Netzwerkdienst und jedem Verzeichnis muss sich jeweils separat authentifiziert und identifiziert werden. Dies stellt einen Aufwand für jeden Benutzer und Administrator dar. Jeder Benutzer muss sich seine Kennwörter merken und pflegen. Bei jeder Anwendung muss sich der Anwender anmelden. Jeder Systemadministrator hat einen Aufwand an Verwaltung seiner Benutzer. Jede Redundanz in der Pflege verursacht Aufwände in der Infrastruktur und in der Implementation. Diesen Missstand gilt es zu beseitigen.
Die dem Netzwerk hagebau angeschlossenen Firmen haben ihre Zentrale in Soltau. Die hagebau-Gemeinschaft ist primär eine Einkaufs- und Marketingkooperation. Insgesamt sind der Kette ungefähr 250 Gesellschafterbetriebe angeschlossen. Diese sind an über 1.100 Standorten mit etwa 310 hagebaumärkten aktiv. Die übrigen Standorte sind Baustoffhandlungen, Holzhandlungen und Grossisten. Dies und der Erfahrungsaustausch zwischen den Gesellschaftern sowie die gegenseitige praktische Hilfe tragen zur Leistungsfähigkeit der einzelnen Gesellschafterbetriebe bei. So wird durch diese mittelständischen Betriebe eine gesunde Vielfalt am Baustoffmarkt erhalten, die letztendlich den Kunden zugute kommt.
Inhaltsverzeichnis:
| Abstract | II | |
| Inhaltsverzeichnis | III | |
| Abbildungsverzeichnis | VI | |
| Tabellenverzeichnis | VII | |
| Abkürzungsverzeichnis | VIII | |
| 1. | Einleitung | 1 |
| 1.1 | Die Firmengruppe | 1 |
| 1.2 | Motivation | 3 |
| 2. | Grundlagen | 5 |
| 2.1 | Strukturen | 5 |
| 2.1.1 | Domäne und File-Sharing | 5 |
| 2.1.2 | eMail- und Groupware | 6 |
| 2.1.3 | ERP-System | 6 |
| 2.1.4 | Data Warehouse | 6 |
| 2.1.5 | Archiv | 7 |
| 2.1.6 | Entwicklungsplattformen hibis | 7 |
| 2.1.7 | Qualitätssicherungssystem hibis | 7 |
| 2.1.8 | Portalsystem | 7 |
| 2.1.9 | Weitere Webservices | 8 |
| 2.2 | Zielsetzung | 8 |
| 2.3 | Organisation der Arbeit | 8 |
| 2.4 | Definition Single Sign-On | 9 |
| 2.4.1 | Vorteile des Single Sign-On | 9 |
| 2.4.2 | Risiken von Single Sign-On | 11 |
| 2.4.3 | Gründe für Single Sign-On | 12 |
| 2.5 | Single Point of Administration | 12 |
| 2.6 | Verzeichnisdienste | 12 |
| 2.6.1 | Abgrenzung zu relationalen Datenbanken | 13 |
| 2.6.2 | X.500-Empfehlungen | 14 |
| 2.6.3 | Lightweight Directory Access Protocol | 15 |
| 2.6.4 | Meta Directories | 19 |
| 3. | Auswahl eines Verzeichnisdienstes | 24 |
| 3.1 | Analyse der Situation | 24 |
| 3.2 | Probleme | 25 |
| 3.3 | Globaler Lösungsansatz | 26 |
| 3.4 | Kriterienkatalog | 27 |
| 3.5 | Marktposition der Verzeichnisdienstanbieter | 28 |
| 3.6 | Beschreibung der Produkte | 30 |
| 3.6.1 | Proprietäres Closed-Source System | 30 |
| 3.6.2 | Open-Source-Software-System | 32 |
| 3.6.3 | Closed-Source-Software mit Open-Source-Integration | 33 |
| 3.6.4 | Vergleich der Systeme | 35 |
| 3.7 | Systemstrategien | 44 |
| 3.8 | Entscheidung | 46 |
| 4. | Migrationskonzept | 49 |
| 4.1 | Systemauswahl für die prototypische Migration | 49 |
| 4.2 | Szenarien | 49 |
| 4.2.1 | Big-Bang-Methode | 50 |
| 4.2.2 | Step-by-Step-Methode | 50 |
| 4.2.3 | Methodenauswahl | 50 |
| 4.3 | Planungsrichtlinien für eDirectory | 51 |
| 4.4 | Planungsrichtlinien der eDirectory-Partitionierung | 52 |
| 4.5 | Planungsrichtlinien zur eDirectory-Replikation | 53 |
| 4.6 | Planung einer unternehmensweiten Sicherheitsrichtlinie | 54 |
| 4.6.1 | Generelles | 55 |
| 4.6.2 | Privilegienvergabe | 55 |
| 4.6.3 | Administration | 55 |
| 4.6.4 | Datenkommunikation | 55 |
| 4.6.5 | Zertifikatsautorität | 56 |
| 4.6.6 | LDAP-Zugriff | 56 |
| 4.6.7 | Clientzugriff auf den Verzeichnisdienst | 56 |
| 4.6.8 | Remotezugriff zur Fernadministration | 56 |
| 4.7 | Erstellungsreihenfolge einer unternehmensweiten Richtlinie | 57 |
| 4.8 | Migrationsreihenfolge | 61 |
| 5. | Entwurf des Prototypen | 62 |
| 5.1 | Planung des Prototypen | 62 |
| 5.1.1 | Namenskonventionen und weitere Regeln | 62 |
| 5.1.2 | Betriebssystem | 65 |
| 5.1.3 | Entwurf des Verzeichnisbaums | 67 |
| 5.1.4 | Verzeichnissynchronisation | 68 |
| 5.2 | Implementation des Prototypen | 78 |
| 5.2.1 | Rahmenbedingungen | 78 |
| 5.2.2 | Konfiguration der Betriebssysteme | 79 |
| 5.2.3 | Erstellung des Verzeichnisbaums | 80 |
| 5.2.4 | Übernahme der NT-Domäne | 80 |
| 5.2.5 | Konfiguration des DirXML-Datenflusses | 81 |
| 6. | Zusammenfassung | 85 |
| Anhang | 87 | |
| A. | Protocom ROI-Rechner für Single Sign-On | 87 |
| B. | eMail-Statements zum SAP-LADP-Connector | 89 |
| C. | eMail-Statement zum Launch des MIIS2003 in Deutschland | 90 |
| D. | XML-Dokument NT-to-eDirectory-Treiber des Testsystems | 92 |
| E. | DirXML-Remote-Loader-Konfiguration | 95 |
| F. | Ausschnitte aus der Novell Preisliste | 97 |
| Glossar | 99 | |
| Quellenverzeichnis | 114 | |
| Ehrenwörtliche Erklärung | 120 |
• die Verwaltung der Key Management Objekts, • die Auswertung der Protokolle und Logbücher auf Servern und Clients, • die Vergabe von Zugriffsrechten, • das Hinterlegen und den Wechsel von Kennwörtern und die Durchführung von Datensicherungen. Auch die Benutzer müssen in einem Verzeichnisdienst mit Client-Zugriff bestimmte Verantwortlichkeiten übernehmen, insbesondere wenn ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. In der Regel beschränkt sich dies jedoch auf die Vergabe der eigenen Passwörter für das Login. Schulung Abschließend muss festgelegt werden, welche Benutzer zu welchen Teilaspekten geschult werden müssen. Erst nach ausreichender Schulung kann ein Produktivbetrieb aufgenommen werden. Dokumentation Die nach dem Schema des BSI IT-Grundschutzhandbuchs 2003 entwickelten Sicherheitsrichtlinien sind zu dokumentieren und konsistent mit anderen Sicherheitsrichtlinien des Unternehmens zu halten, weiter muss eine Gesetzeskonformität gewährleistet sein. [...]
des Security-Containers. Einrichtung von Projektverzeichnissen Um eine saubere Trennung von benutzer- und projektspezifischen Daten bzw. Objekten untereinander durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, die eine solche Objekthaltung unterstützt. Vergabe der Zugriffsrechte Für die Objekte des Verzeichnisdienstes ist festzulegen, welche Attribute für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind. Verantwortlichkeiten der Administratoren und Benutzer Neben der Wahrnehmung der Netzwerkmanagement-Aufgaben müssen weitere Verantwortlichkeiten determiniert werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im Verzeichnissystem übernehmen müssen. Dies können beispielsweise Verantwortlichkeiten sein für • die Verwaltung des Verzeichnis-Baums oder einzelner Partitionen, • die Verwaltung der Schemadefinition, • die Verwaltung der Zertifikatsautorität, [...]
Festlegung der Regeln für Benutzerkonten Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle oder nur für bestimmte Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte LogIn-Vorgänge. Außerdem sollte das Erstellen der Login-Skripte geregelt werden. Einrichtung von Gruppen Zur Vereinfachung der Administration sollten Benutzer-Objekte, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Die korrespondierenden VerzeichnisObjekte heißen Organizational Roles. Benutzerrechte sowie Zugriffsrechte auf Verzeichnisobjekte und gegebenenfalls weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzer-Objekten zugeordnet. Die Benutzer-Objekte erben die Rechte und Privilegien der Gruppen, denen sie angehören. Es wäre es beispielsweise möglich, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Benutzerberechtigungen sollten nur dann einzelnen Benutzern zugewiesen werden, wenn dies ausnahmsweise unumgänglich ist. Festlegung der Vorgaben für Protokollierung Hierbei ist festzulegen, welche vom Verzeichnisdienst generierten Ereignisse zu protokollieren sind und bei welcher Ereigniskombination eine Benachrichtigung an den Sicherheits- bzw. Systemadministrator zu erfolgen hat. Weiterhin muss entschieden werden, wie lange die gesammelten Ereignisdaten aufzubewahren sind. [...]
In den Warenkorb
38,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832440862
Arbeit zitieren:
Eickhoff, Björn Juni 2004: Entwicklung eines Konzepts zur Einführung eines Verzeichnisdienstes im Rahmen des Single-Sign-On-Gedankens in einem heterorgenen Netzwerk und dessen prototypische Umsetzung, Hamburg: Diplomica Verlag
Schlagworte:
Meta Directory, Mitarbeiter Provisionin, Return on Investment, Migrationskonzept, Identity Management
Entdecken Sie mehr zum Thema
