Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.04.1999 - 

Verzeichnisdienste im Netz/Informationsmodell für Netzkomponenten und Dienste

DEN und LDAP: Teamwork für ein einheitliches Verzeichnis

Durch die Globalisierung sowie das Zusammenwachsen von Daten- und Telefonnetzen steigt der Bedarf an integrierten Verzeichnisdiensten für Benutzer, Server-Systeme und Netzwerke. Petra Borowka* beschreibt, inwieweit heute einheitliche Ansätze vorliegen und welche Ziele sich damit erreichen lassen.

Verzeichnisdienste sind heute ein unverzichtbares Element moderner Client-Server-Netze, mit dem sich Zugriffe steuern und optimieren lassen. An erster Stelle steht dabei der Gedanke, in verteilten Umgebungen Ressourcen beliebiger Art zu finden. Dazu zählen beispielsweise Benutzernamen, Telefonnummern, Mail-Adressen, Dateien, Server-Systeme oder Drucker. Sie werden über logisch zentralisierte und physikalisch verteilte Verzeichnisse zugänglich und somit verwaltbar gemacht.

Vielfach sind jedoch heute einzelne Applikationswelten um proprietäre oder erweiterte Directories gruppiert, die eine Unternehmens-IT in viele Informationsinseln aufteilen. Novells Directory Service (NDS), Microsofts Active Directory, Streettalk von Banyan, Netscapes Directory Server, DirX von SNI oder die Sun Directory Services sind nur ein kleiner Auszug aus den rund 180 Verzeichnissen und User-Info-Dateien, die laut Forrester Research in einem mittleren bis großen Unternehmen typischerweise anzutreffen sind. Die Datenkonsistenz und das Änderungs-Management entwickeln sich dadurch für Netzbetreiber schnell zu einem Alptraum.

Mit diesem bunten Neben- und Durcheinander bleiben die Anforderungen der nahen Zukunft an Client-Server-Computing und E-Commerce unerfüllbar. Um einerseits eine durchgängige Ende-zu-Ende-Kontrolle über Zugriffe, Ressourcenauslastung und die erforderliche Dienstgüte (QoS) zu erreichen und andererseits die Management-Kette vervollständigen zu können, sind drei weitere Schritte erforderlich: erstens die Vereinheitlichung zugrundeliegender Datenmodelle, zweitens der Einsatz eines standardisierten Zugriffsprotokolls sowie drittens die Integration von Netzkomponenten und -diensten in Enterprise- und Carrier-Verzeichnisse.

Microsoft und Cisco haben sich in der DEN-Initiative zusammengeschlossen, um Lösungen für das Problem zu entwickeln. Ziel ist eine konsistente, verbesserte und kosteneffiziente Verwaltung vernetzter Systemumgebungen. Aus ursprünglich rund 25 weiteren Unternehmen, die eine Ad-hoc-Working-Group (AHWG) formierten, sind inzwischen mehr als 200 Unterstützer geworden. Durch die Einrichtung eines Customer Advisory Board, das den Vorsitz über die AHWG erhielt, wurden verstärkt Anwender und Multivendor-Interessen eingebracht.

DEN erweitert die vorhandenen Methoden zur Beschreibung von Benutzerprofilen, Servern und Ressourcen durch ein einheitliches Informationsmodell auf Netzkomponenten und -dienste. Diese Einbeziehung ermöglicht es, intelligente Netzwerke und Netzapplikationen zu betreiben. Dienste lassen sich via DEN mit Benutzern (Unternehmen, Abteilungen, einzelnen Benutzern) anhand eines konsistenten und rationellen Regelwerks assoziieren. Hierfür definiert DEN ein Verzeichnis als zentrale Datenbasis, das Informationsablage und -abruf koordiniert und somit applikationsspezifische, proprietäre Verzeichnisdienste vereinheitlicht.

Dabei definiert DEN Objekte auf zweierlei Arten. Zum einen gehört jedes Objekt zu einer speziellen Klasse (Organisation, Org-Einheit). Zum anderen wird ein Objekt durch seine Attribute beschrieben. Darunter fallen beispielsweise Namen, Netzadressen, Seriennummern sowie Software-Releases für Daten-Server, Router oder Switches.

DEN: objektorientiertes Vererbungsmodell

Als wesentlicher Vorteil gilt, daß DEN auf dem objektorientierten Vererbungsmodell der jüngsten Directory-Generation basiert. Dadurch werden Attribute übergeordneter Dienste und Funktionen automatisch allen nachgeordneten Komponenten zugewiesen. Umgekehrt lassen sich Attribute einzelner Objekte zu einer Gesamtkonfiguration beziehungsweise einem Gesamtverhalten aggregieren. Zusätzlich stehen die typischen Möglichkeiten eines Verzeichnisdienstes wie Top-down-strukturierte Zugriffe, White-Page-Suchfunktionen oder netzweite Registrierung zur Verfügung.

Als Standard für den Directory-Zugriff hat sich ein Protokoll etabliert, das auch von DEN genutzt wird: das Lightweight Directory Access Protocol (LDAP) in der Version 3. Es entstand als alternativer Directory-Zugriff für Clients, der einfacher als X.500 zu realisieren war. Mangels X.500-Support wurde später ein Directory-Protokoll (Server-Protokoll) entwickelt, mit dem Client-Systeme und Netzressourcen übernommen werden konnten, ohne an das starre Top-down-Schema von X.500 gebunden zu sein.

Nach Aussage von LDAP-Co-Autor Tim Howes aus dem Hause Netscape lassen sich LDAP-Applikationen in drei Gruppen unterteilen: Neben der Authentisierung handelt es sich dabei um das Aufspüren und die Verwaltung von Benutzern und Ressourcen. Directory-Replizierung und Zugangskontrolle befinden sich allerdings noch in der Entwicklungsphase. LDAP unterstützt Sicherheitsfunktionen wie SASL und TLS/SSL, integriert proprietäre Verzeichnisse mittels Meta Directories und nutzt URLs für Verzeichnisabfragen. Darüber hinaus sind Application Programming Interfaces (API) und Datenformate definiert.

Mit diesen Funktionen kann X.500 nicht aufwarten. Dafür spezifiziert das Protokoll Funktionen, die in LDAP nicht verfügbar sind. Neben der Kommunikation zwischen Directory-Servern zählen dazu auch die Verkettung von Anfragen über mehrere Server hinweg sowie die Directory-Replikation.

Attraktiv für einen Internet-Service-Provider ê la T-Online oder Compuserve ist, daß sich mittels DEN VPN-Dienste einfacher bereitstellen und warten lassen. Gegenwärtig nimmt die Anpassung von Kundendatenbanken und das benutzerbezogene Customizing einzelner Dienste viel Zeit in Anspruch. Wenn sich beispielsweise ein mobiler Benutzer in ein VPN einwählt, würde eine DEN-basierte Netzarchitektur alle Komponenten kennen und verwalten, die an dieser Verbindung beteiligt sind.

In einem DEN-basierten Netz wären Layer-3-Switching-Information, Frame-Relay-PVC (Permanent Virtual Circuits) und Trunks sowie die beteiligten physikalischen Ports in Relation zu einem Kunden gesetzt. Dadurch könnte bei einer Störung die Management-Anwendung über das Directory anfragen, ob es sich um eine Ausfallsituation handelt. Service-Providern fällt die Implementierung von Service-Level-Agreements (SLA) leichter, wenn die Zertifizierung der Benutzer, die SLA-Vereinbarungen sowie die QoS-Informationen in derselben logischen Verzeichnisstruktur zusammengefaßt sind. Statt dessen nutzen ISP vielfach noch Excel-Tabellen für die Ablage und Pflege von Kundendaten.

Service-Provider und gegebenenfalls auch die Betreiber privater Standortnetze streben gegenwärtig die zuverlässige Umsetzung von SLA über sogenannte Policy-Netze an. Der Zugriff auf sämtliche Ressourcen und Applikationen wird logisch zentral gesteuert und verwaltet. Beim Session-Aufbau erfolgt eine Anfrage an einen Policy-Server, ob der entsprechende Benutzer den angefragten Dienst aktivieren und mit welcher Dienstgüte nutzen darf. Die Policy-Informationen stammen dabei von einem DEN-Directory-Server.

Ein möglicher Verbindungsaufbau könnte wie folgt ablaufen: Der beteiligte Client (Endgerät oder erster Layer-3-Switch) startet mit SNMP, HTTP oder RADIUS eine Policy-Anfrage an einen Policy-Server oder Policy-Manager. Die notwendigen Informationen zur Beantwortung der Anfrage holt sich der Manager mittels LDAP aus dem DEN-Directory und koppelt diese mit einem Time Server (zeitabhängig codierte Zertifikate, Authentisierung oder Schlüssel). Nach Auswertung der DEN-Directory-Informationen beantwortet der Policy-Server die Anfrage und sendet dem Client gegebenenfalls ein Update seiner eigenen Policy-Parameter zurück, beispielsweise wenn die Konfiguration einer Netzkomponente dynamisch angepaßt werden muß.

Verschiedene Produkte bieten oder nutzen zur Zeit Verzeichnisdienste mit LDAP als Zugriffsprotokoll. Bay/Nortel bietet Access-Router an, die LDAP unterstützen. Ebenso gibt es einen Policy-Manager als "Optivity"-Applikation, der mittels LDAP Policy-Regeln auf Active Directory, NDS, Netscape Directory Services oder Sun Directory ablegt und abfragt. Cisco kooperiert bei seinem CNS mit Microsoft, um Konfigurationsinformationen sowie Policy-Regeln im Active Directory ablegen zu können.

3Com implementiert einen Policy-Manager unter "Transcendware", der LDAP nutzt und über ein eigenes Directory verfügt. Künftig soll er auch auf Verzeichnisdienste von Microsoft, Novell und Netscape zugreifen. Bei IBM werden DEN und LDAP nur innerhalb der Element-Manager-Suite "Nways" für Netzkomponenten, nicht jedoch in der Plattform Tivoli-Enterprise-Manager unterstützt. Unter dem Begriff "AVN" (Application Virtual Networking) wird ein zentral von Nways gesteuertes Policy-Management mit LDAP implementiert.

Die Entwicklung eines standardisierten Verzeichniskonzepts für Benutzer, Systemressourcen und Netzkomponenten ist ein Schritt in die richtige Richtung, um künftig verschiedene Dokumentations-, Management- und QoS-Probleme besser in den Griff zu bekommen. DEN im Zusammenspiel mit LDAP kann dem Anwender Vorteile bringen, indem es Zugriffe mit Hilfe von Policy-Konzepten auf Basis einheitlicher Verzeichnisabfragen steuert.

Einzelne Produktansätze, die alle auf LDAP basieren, sind bereits erkennbar. Bis zu einer anbieterübergreifenden Lösung ist es jedoch noch weit. Und möglicherweise muß bei Policy-Netzen ein Umweg über gegenwärtig komplexe Konzepte zurück zu einer handhabbaren Einfachheit gemacht werden.

Links

- http://www.dmtf.org- http://www.cisco.com/warp/ Public/734/den- http://www.umich.edu/dirsvcs/ ldap/doc/index.html- http://www.novell.com/products/nds/wpnds.html- http://www.developer.netscape.com/docs/manuals/ ldap/index.html

Angeklickt

Rund 180 verschiedene Verzeichnisse und User-Info-Dateien sind laut Forrester Research in großen Unternehmen anzutreffen. Globale Geschäftsmodelle wie der elektronische Handel erfordern jedoch einheitliche Directory Services. Excel-Tabellen allein reichen dann nicht mehr aus, um Zertifikate, Service-Level-Agreements oder Dienstgüteinformationen der Nutzer zu verwalten. Directory-enabled Networking (DEN) soll die Brücke zu einheitlichen Datenmodellen, standardisierten Zugriffsprotokollen sowie der Integration von Netzkomponenten und -diensten in großen Verzeichnissen bauen.

*Petra Borowka ist Geschäftsführerin bei der UBN Unternehmensberatung Netzwerke in Aachen.

Abb.1: Einheitliche Strukturen

Mit dem Lightweight Directory Access Protocol (LDAP) hat sich ein Standard für den Zugriff auf Verzeichnisdienste etabliert, der auch vom DEN-Konzept genutzt wird. Quelle: Borowka

Abb.2: Policy-Umsetzung mittels Directory-Abfrage

Service-Provider kontrollieren die vereinbarte Dienstgüte der Nutzer über Policy-Netze. Nach Auswertung der DEN-Directory-Information beantwortet der Policy-Server die Anfrage. Quelle: Borowka