Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

26.10.2001 - 

Ausgereifte Verzeichnisdienste

Meta-Directory-Kauf ist Vertrauenssache

MÜNCHEN (hi) - Um das Geschäft mit Verzeichnisdiensten - neudeutsch Directory Services - ist es nach dem Werberummel für Microsofts Active Directory Anfang des Jahres 2000 mittlerweile ruhig geworden. Unbemerkt von der breiten Öffentlichkeit, haben jedoch alle wichtigen Player ihre Verzeichnisdienste weiterentwickelt und Kinderkrankheiten auskuriert. Zudem halten die Directories in immer mehr Unternehmen Einzug.

Eigentlich sind Directories im Networking-Business alte Bekannte. Mit X.500 entstand bereits vor Jahren ein erster Verzeichnisdienst, der sich aber aufgrund seiner Komplexität und hoher Hardwareanforderungen nicht auf breiter Front durchsetzen konnte. Einen zweiten, nicht unbedingt erfolgreicheren Versuch startete Banyan mit seinem Dienst "Streettalk". Populärer, wenn auch nicht durchweg beliebt wurden Verzeichnisdienste dann mit dem Erscheinen von Netware 4.0 und den darin enthaltenen Novell Directory Services (NDS). Mit diesen verband Systemadministratoren anfangs eine regelrechte Hassliebe. Das Produkt sei zu komplex und die Restore-Tools für den Fehlerfall seien schlecht, lauteten zwei häufige Kritikpunkte der Anwender, die sich mit der Bindery ihr altes, flaches Administrationsmodell zurückwünschten.

Langer SchattenbereichDie Einwände waren zu Beginn der 90er Jahre durchaus nachvollziehbar: Die damaligen Netze bestanden in der Regel aus vereinzelten LAN-Lösungen. An Internet, E-Commerce, Mobile Commerce oder E-Business, die eine Vernetzung über Unternehmens- und Ländergrenzen hinweg erfordern, dachte damals noch niemand. Ebenso hielt sich der DV-Einsatz am Arbeitsplatz in Grenzen. Die eigene E-Mail-Adresse, die Integration von Computer und Telefonie, die Einbindung in Personalwirtschaftssysteme (Human Resource = HR), die Verknüpfung mit Scheduling- und Workflow-Komponenten, der Zugriff auf unternehmensweite Software wie etwa SAP/3 waren die Ausnahme und nicht der Regelfall.

Vor diesem Hintergrund führten die Directories denn auch eher ein Dasein im Hintergrund, und Meta Directories, welche die Verzeichnisse unterschiedlicher Anwendungen in einem einzigen integrieren, waren nur in wenigen, meist großen Unternehmen zu finden. In das Bewusstsein einer breiten IT-Öffentlichkeit rückten die Verzeichnisdienste erst, als Microsoft mit Windows 2000 Anfang letzten Jahres dem alten Domain-Modell den Rücken kehrte und mit den Active Directory Services (ADS) ein eigenes Verzeichnis propagierte. Der Konzern musste dafür in der folgenden PR-Schlacht viele Prügel einstecken und sah sich mit Vorwürfen wie "ADS ignoriert die heterogene Netzwerkrealität" konfrontiert.

Nach diesem kurzen, aber um so lauteren Marketing-Getöse rückte der Directory-Markt wieder aus dem Blickfeld. Das ging besonders zu Lasten von Microsoft, dem ursprünglichen Initiator der Werbeschlacht: Eines der gut gehüteten Geheimnisse in Sachen Meta Directory ist nämlich, dass die Gates-Company in Form der "Microsoft Metadirectory Services" (MMS) ebenfalls ein eigenes "Überverzeichnis" im Programm hat und damit etablierten Playern wie Critical Path ("Injoin Metadirectory"), Siemens ("Dir X"), Novell ("Edirectory", "Dir XML") sowie Iplanet ("Iplanet Meta Directory") Konkurrenz macht. Das MMS, das derzeit in der zweiten Version vorliegt, ist eine Entwicklung von Zoomit. Microsoft kaufte die kalifornische Company im Juni 1999.

Projekte statt WorteEine mögliche Erklärung für die Ruhe in Sachen Directories hat Rüdiger Ebach, Vice President bei Critical Path in Berlin, parat: "Der Markt folgte erst langsam dem Hype, und nun ist es so ruhig, weil alle Player in Projekte involviert sind." Die Einschätzung deckt sich mit der Erfahrung von Systemhäusern und Beratungsunternehmen wie Materna in Dortmund, der Connector GmbH in Heidelberg, der Pecos AG in Hamburg sowie der Epresence GmbH in Feldkirchen bei München. Quer durch die Republik, so berichten die Unternehmen, die sich unter anderem auf das Consulting und die Integration in Sachen Verzeichnisdienste spezialisiert haben, werden beziehungsweise wurden große Meta-Directory-Projekte realisiert. "Die Zeit, in der wir noch Aufklärungsarbeit leisten mussten, ist vorbei", fasst Holger Wosnitza, Leiter Account Management bei Materna, die Situation zusammen.

Größere Projekte haben etwa die Deutsche Post und Merck mit dem Meta Directory von Critical Path verwirklicht. Auf Dir X von Siemens setzt dagegen beispielsweise die Deutsche Bank. Und Novell hat mit Ticona und Wacker Chemie zwei bekannte Namen aus der Chemiebranche als Dir-XML-Kunden gewonnen. Ferner arbeiten etliche Behörden und Länderregierungen an Verzeichnisimplementierungen. So existiert ein Projekt, in dem die Landesregierungen von Nordrhein-Westfalen, Rheinland-Pfalz, Thüringen, Brandenburg sowie Sachsen ihre Behördenverzeichnisse in einem Meta Directory zusammenführen wollen. Mehrere Sicherheitsbehörden, die aufgrund der aktuellen Ereignisse nicht ins Detail gehen wollen, befassen sich derzeit mit der Einführung der Verzeichnisprodukte von Iplanet.

Der Vorteil solcher "Datentankstellen", wie Materna-Manager Wosnitza die Meta Directories auch bezeichnet, liegt auf der Hand: Die Administratoren sparen Zeit und Geld bei der Verwaltung der Daten. Selbst einfache Anwendungen wie die Pflege eines Telefonbuchs können sich mittels Verzeichnisdienst erheblich verbilligen. So spart etwa die kanadische Regierung laut Holger Mahlau, Consultant bei der Pecos AG, durch den Einsatz eines Directory-basierten Telefonbuches jährlich zwischen 1,5 und zwei Millionen Dollar. In eine ähnliche Richtung geht die Synchronisation der E-Mail-Adressen verschiedener Messaging-Systeme, wie sie nach den Fusionen der jüngsten Vergangenheit in vielen global agierenden Unternehmen anzutreffen sind.

AnwendungsszenarienBefragt nach typischen Anwendungsszenarien, antworten die Systemintegratoren unterschiedlich. Während Michael Hiebler, Professional Services Manager bei Epresence, sich aufgrund der Vielfalt an möglichen Szenarien an den Bedürfnissen des Kunden orientiert und den Einsatz von Directories generell in Situationen für angebracht hält, "in denen es um den Austausch von personalisierten Informationen geht", unterscheidet Erich Vogel zwischen drei Bereichen. Das eine große Thema ist für den Geschäftsführer der Heidelberger Connector GmbH dabei die Benutzerverwaltung. Mit Hilfe der Meta Directories lasse sich hier ein einheitliches Repository kreieren, das zur Authentifizierung und Anmeldung der Benutzer an der jeweiligen Applikation (Stichwort: Single Sign-on) dient. Das zweite große Feld ist laut Vogel das Thema Sicherheit. Gerade im Zusammenhang mit PKI-Strukturen böten sich die Verzeichnisdienste dazu an, hier die verwendeten Schlüssel zu hinterlegen. Der dritte Einsatzbereich ist für Vogel die Synchronisation der Anwendungsverzeichnisse, um etwa die Daten zwischen HR-Software und Warenwirtschaft abzugleichen.

Kontakt zu ApplikationenGeht es um das Potenzial der Verzeichnisdienste, so sind sich Berater und Hersteller im Großen und Ganzen einig. Ein differenzierteres Bild zeigt sich dagegen, wenn die hierzu notwendigen Schnittstellen zwischen Directory und angeschlossenen Anwendungen zur Sprache kommen.

Relativ einfach ist der Fall noch bei Anwendungen, für die ein Hersteller entsprechende Konnektoren mitliefert. Von Novell erhält der Kunde etwa Standardkonnektoren für ADS, Notes, ODBC, JDBC sowie LDAP-fähige Applikationen (LDAP = Lightweight Directory Access Protocol). Ebenso aufgeschlossen gegenüber den Verzeichnissen von Standardanwendungen wie Notes, MS Office oder den HR-Applikationen von SAP und Peoplesoft sowie gegenüber gängigen Datenbanken zeigen sich Dir X 6 von Siemens, das Injoin Metadirectory von Critical Path sowie Iplanets Meta Directory. Kritischer sieht es dagegen bei Microsofts ADS aus, das zwar ebenfalls über Konnektoren zu den gängigsten Anwendungen verfügt, aber, wie Microsoft-Sprecher Thomas Baumgärtner offen einräumt, "seine Vorteile als proprietäre Lösung am besten in der Microsoft-Welt ausspielen kann".

Ist dagegen die Connectivity zu anderen Welten, etwa TK-Anlagen, gefragt, rät Microsoft zur Verwendung seines Verzeichnisdienstes MMS, der via LDAP die Verbindung herstellt. LDAP war vor Jahresfrist auch noch bei den anderen Herstellern die Technologie, mit der sie die Applikationen, für die keine Standardkonnektoren mitgeliefert wurden, an ihre Directories anbanden. Mittlerweile versuchen die Firmen jedoch, die Kundschaft in ihren Marketing-Prospekten bereits auf Extensible Markup Language (XML) einzuschwören.

Nach den Erfahrungen der Praktiker ist in der Realität aber noch immer LDAP das Maß der Dinge. Für Directory-Experte Vogel macht es auch keinen Sinn, bestehende LDAP-Implementierungen auf XML umzustellen, denn XML biete hinsichtlich der Directory-Funktionalität keine Vorteile. Dennoch ist der Heidelberger überzeugt, dass sich XML in ein bis drei Jahren in der Datensynchronisation etablieren wird, wenn sich XML bei den Anwendungen als Standard-Schnittstelle durchsetzt. Deshalb könne es auch heute schon sinnvoll sein, bei neuen Projekten XML in Betracht zu ziehen.

Dass XML auf Dauer das heute weit verbreitete LDAP ablöst, glaubt auch Epresence-Berater Hiebler und sieht die Kombination von XML und Directories vor allem beim Thema Workflow sowie in Szenarien, wo die Integration von Informationen im Vordergrund steht. Allerdings hat der Consultant in Sachen XML auch einen Pferdefuß entdeckt: "Das Verfahren ist langsamer als das heute übliche LDAP."

Ein Kenner der Szene, der sich seit 1995 mit Directories befasst, hält jedoch selbst die Treueschwüre zu LDAP für überzogen. Nach den Worten des Insiders, der lieber unerkannt bleiben will, sind in vielen Projekten reine Ascii-Files, deren Datensätze durch einfache Kommas separiert sind, der kleinste gemeinsame Nenner bei der Datensynchronisation und LDAP oder gar XML noch Zukunftsmusik.

Im Reigen der XML-Protagonisten fehlt bisher Microsoft. Noch hat die Company dieses Format zum Datenaustausch in ihr MMS nicht integriert. Entsprechende Pläne sollen aber mit der nächsten Version, dem Release 3.0, verwirklicht werden. In Sachen MMS stehen potenzielle Anwender darüber hinaus vor einem anderen Problem: Der Dienst ist zwar kostenlos, aber nur im Zuge von konkreten Projekten in Zusammenarbeit mit dem Microsoft Consulting Service oder zertifizierten Partnern wie etwa Epresence erhältlich.

Ein Handicap, das Benutzer, die mit den Produkten von Critical Path, Siemens, Novell oder Iplanet liebäugeln, nicht haben. Bei Iplanet sind die Tools zum Test sogar kostenlos aus dem Internet ladbar. Allerdings dürften auch bei diesen Meta Directories die wenigsten User um die Einbeziehung eines Beraters herumkommen: Laut Novell-Manager Michael Naunheim besteht ein Meta-Directory-Projekt wirtschaftlich zu 70 bis 80 Prozent aus Consulting, lediglich 20 bis 30 Prozent der Kosten entfielen auf Implementierung und Programmierung. Ein Wert, der sich mit den Erfahrungen der Systemintegratoren deckt, wobei Pecos-Consultant Mahlau noch auf einen anderen Punkt aufmerksam macht: "Die Beratungsprobleme liegen weniger auf der technischen Seite als vielmehr auf der politischen Ebene, wobei Fragen auftauchen wie die abteilungsübergreifende Organisation eines Directorys oder die Problematik der Mitarbeiterakzeptanz." Eine Meinung, die auch Materna-Mitarbeiter Wosnitza teilt: "Die Meta Directories sind auf breiter Front ausgereift und Kinderkrankheiten wie eine fehlende Unterstützung des deutschen Zeichensatzes beseitigt."

Auch die anderen Systemadministratoren beurteilen die Produkte im Wesentlichen recht günstig - mit zwei Ausnahmen. Eine davon ist für den Heidelberger Connector-Geschäftsführer Vogel Dir X von Siemens: "Es erwies sich bis zur Version 6 in einigen Projekten als technisch unzuverlässig. Zur anderen Ausnahme, MMS, gibt es noch keine fundierte Bewertung. Da die befragten Systemhäuser hierfür keine Zertifizierung besitzen, können sie die Software noch nicht aus eigener Erfahrung einschätzen. Allerdings ist angesichts des guten Rufs der Zoomit-Produkte die Erwartung an das Microsoft-Werkzeug hoch. Lediglich Epresence kann schon auf Praxiserfahrungen mit dem Produkt zurückgreifen und lobt nahtlose Integration in die restliche Microsoft-Welt. MMS lasse sich auch sehr gut in die ADS einpflegen.

Softfacts bestimmen den KaufLetztlich, so unisono das Credo der Integratoren, sei die Wahl des passenden Directorys Glaubenssache. Sie sollte sich an der vorhandenen DV-Landschaft orientieren, da es etwa für einen Novell-Shop wenig Sinn gebe, auf das Directory eines anderen Herstellers zu wechseln. Ein anderes Entscheidungskriterium könnten die unterstützten Server-Plattformen sein. Allerdings unterscheiden sich hier die Meta-Directory-Konkurrenten wenig. Ebenso taugen die oft veröffentlichten Performance-Tests als Orientierungshilfe nur bedingt, da hierbei oft getrickst wird, indem etwa bei dem einen oder anderen System der Cache ausgeschaltet oder eine weniger geeignete Server-Plattform verwendet wird.

"Zu 90 Prozent hängt die Entscheidung für ein Directory in letzter Konsequenz von den weichen Faktoren ab", erzählt Vogel aus der beruflichen Praxis. Da spielen dann Aspekte wie Präsenz und Support des Herstellers in Deutschland, seine finanzielle Lage sowie seine technologische Roadmap und Kompetenz eine Rolle. So sorgte etwa Novells wirtschaftliche Situation laut Vogel noch bis Jahresanfang für Skepsis, doch mittlerweile hätten die Anwender ihr Vertrauen zurückgewonnen.

Critical Path, technisch für Vogel am weitesten, könne sich dagegen noch nicht auf genügend gute Berater stützen. Iplanet wird von dem bereits zitierten anonymen Insider ebenfalls für seine Produktqualität gelobt, der Hersteller habe aber "ein unverschämtes Pricing, das auf keine Kuhhaut gehe".

Unterschied im DetailMaterna-Mitarbeiter Wosnitza ist ebenfalls davon überzeugt, dass die Directories in der Regel den Pflichtenheften gerecht werden und sich lediglich in Details bei Spezialanforderungen unterscheiden - wie etwa der Zugriffskontrolle auf die einzelnen Directory-Objekte oder dem Shadowing. Hierbei werden in verteilten Strukturen nur Teile eines Directory-Servers gespiegelt, um die Weitverkehrsverbindungen zu entlasten.

Auf ein anderes Unterscheidungsmerkmal weist Pecos-Consultant Mahlau hin: Das Metadirectory von Critical Path lässt etwa die Daten der Ursprungsverzeichnisse unberührt und synchronisiert diese im Metaverzeichnis. Andere Produkte wie Dir X benutzen dagegen ein vorhandenes Anwendungsverzeichnis (etwa von SAP R/3) als führendes Verzeichnis und stellen diese Daten dann über das Meta Directory den anderen Verzeichnissen zur Verfügung.

Tipp zur SicherheitGeht es um das Thema Sicherheit, das bei der Verwendung von Directories in E-Business-Projekten ein große Rolle spielt, unterscheiden sich die Produkte kaum. Hier empfehlen die Berater, ein internes Meta Directory zu verwenden, und dann einen zweiten Directory Server in der demilitarisierten Zone vor der Firewall einzurichten. Dieser sollte dann nur die Daten enthalten, die von außen zugreifende Anwender wie Außendienstmitarbeiter oder Geschäftspartner benötigen. Auf diese Weise werde eine Kompromittierung der internen Daten und Strukturen wirkungsvoll verhindert.

LDAP-ProblemeWährend die Hersteller LDAP als das Verfahren zur Verknüpfung unterschiedlicher Verzeichnisse propagieren, warnen einige Directory-Experten davor, sich von dem Commitment zum Lightweight Directory Access Protocol blenden zu lassen. In ihren Augen greift es zu kurz, wenn eine zentrale, systemübergreifende Benutzeradministration das Ziel ist. Nach Meinung dieses Lagers fehlen LDAP grundsätzlich die Replikations- und Synchronisationsmechanismen, um die Verzeichnisinformationen gezielt zu replizieren und in verteilten Umgebungen stets auf dem aktuellen Stand zu halten.

Deshalb habe die viel beschworene LDAP-Integration einen Haken: Die Hersteller müssten auf eigene proprietäre Protokollerweiterungen ausweichen. Einen Ausweg aus diesem Dilemma könnte der Paradigmenwechsel in Richtung XML eröffnen. Dahinter steckt die Hoffnung, mit dieser Web-Metasprache nicht nur Directory-Informationen als standardkonforme Objekte in der entsprechenden Datenbank abzulegen, sondern XML zudem als Middleware und zur flexiblen Ausgestaltung von Web-Seiten zur Präsentation der Verzeichnisinformationen an den Web-Clients zu nutzen.

Eine weitere Option, um die LDAP-Klippen zu umschiffen, ist die Verwendung von Protokollen aus der X.500-Welt, in der Replikation und Synchronisation der Daten spezifiziert ist.