Von einem solchen Verzeichnisdienst verspricht man sich die Senkung der Kosten für die Erfassung, Verwaltung und die Integration in Anwendungen und vor allem die Vermeidung von Sicherheitsproblemen. Heutzutage bleibt beispielsweise eine Zugangsberechtigung häufig bestehen, obwohl der Mitarbeiter bereits ausgeschieden ist.
Werden einem solchen Verzeichnis noch die entsprechenden Verwaltungsdienste zur Verfügung gestellt, spricht man von einem Verzeichnisdienst oder Directory Service. Entwickeln wir diesen Gedanken weiter, indem wir sämtliche Verzeichnisse und Verzeichnisdienste auch über verteilte Umgebungen hinweg einbeziehen, entsteht die Idee von einem Unternehmensverzeichnis oder Enterprise Directory als wichtige Infrastrukturkomponente.
SPEZIALDATENBANKEN MIT LIMITIERTER FUNKTIONALITÄT
Verzeichnisdienste sind also Spezialdatenbanken mit limitierter Funktionalität. Weil auf die Unterstützung komplexer Transaktionen verzichtet werden kann, arbeitet ein Verzeichnisdienst auch bei einer sehr großen Anzahl von Einträgen noch performant.
Ein Verzeichnisdienst stellt in vernetzten Rechnersystemen einen Basisdienst zur Verfügung. Dabei stellt er seine Dienste im Regelfalle über die Benutzungsoberfläche von Client-Systemen dem Anwender zur Verfügung. Administratoren können die Verwaltungswerkzeuge des Dienstes nutzen. Ein Verzeichnisdienst deckt vier wesentliche Funktionsbereiche ab:
- Security: Zum Schutz von Informationen vor unberechtigter Benutzung stellen Verzeichnisdienste Mechanismen zur Vergabe und Anwendung von Schutzrechten, zur Authentifizierung, Autorisierung und Verschlüsselung bereit.
- Partitionierung: Verzeichnisse werden zur Bewältigung großer Informationsmengen technisch auf verschiedene Speicher oder Rechner aufgeteilt, um so die erforderliche Performance zu erreichen.
- Verteilung: Verzeichnisse werden auf mehrere über ein Netz verteilte Rechner aufgeteilt. Die Rechner arbeiten wie ein einziges Verzeichnis zusammen. Anfragen wer- den von einem Verzeichnis zu anderen Verzeichnisservern weitergeleitet.
- Replikation: Verzeichnisse mit ganz oder teilweise identischem Inhalt werden durch Replikationsmechanismen in definierter Weise synchron gehalten, das heißt, daß Informationen auf andere Verzeichnisserver im Netz kopiert werden. So sind die Verzeichnisse auch entfernten Anwendern schnell und sicher zugänglich, ohne daß diese Inkonsistenzen in Kauf nehmen müssen.
Auf Verzeichnisse wird üblicherweise nach dem Client-Server-Modell zugegriffen. Zum Lesen oder Schreiben von Informationen greift eine Anwendung über eine Funktion oder ein Application Programming Interface (API) zu, um die entsprechende Anfrage an einen Serverprozeß weiterzuleiten, der sie dann bearbeitet und die Ergebnisse zurückmeldet.
Zum Verständnis der nachfolgenden Diskussion ist es erforderlich, drei nicht gleichgewichtige Themenkomplexe zu erläutern.
- X.500 - der umfassende Standard
Auslöser zur Entwicklung des Standards X.500 für Verzeichnisdienste war der Gedanke, ein international zugängliches Telefonverzeichnis für letztlich alle Bürger dieser Welt zu entwickeln. X.500 war ursprünglich ein Standard der International Telecommunications Union (ITU). Es stellte sich schnell heraus, daß der Ansatz weit mehr Möglichkeiten bietet, als nur Telefonnummern zu verwalten. Deshalb hat auch die International Standard Organization (ISO) diesen Standard aufgegriffen und als eigenen Standard festgeschrieben.
X.500-Verzeichnisse sind hierarchisch aufgebaut. Jede Informationskategorie wie Land, Stadt, Organisation et cetera ist in eigenen Ebenen (Levels) abgebildet. Durch die Beschreibung eines Netzwerks von Verzeichnissen wirkt ein X.500-Verzeichnis-Verbund wie ein einziges, globales Verzeichnis. Der Erfolg dieses umfassenden Standards für Verzeichnisdienste wurde jedoch durch einige Probleme behindert:
1. X.500-Protokolle basieren auf dem Ressourcen-intensiven OSI-Protokoll-Stack. Der hohe Verbrauch an Hauptspeicher und CPU-Zeit auf der Client-Seite verhindert den Zugriff durch schlanke Clients.
2. Die X.500-Einträge werden nach einer Syntax gemäß Abstract Syntax Notation 1 (ASN.1) kodiert und sind damit erst nach entsprechender Dekodierung zugänglich.
3. Das DAP-API (Application Programming Interface des Directory Access Protokolls) von X.500 ist umständlich und wird von den Programmierern weithin abgelehnt.
4. Aufgrund der gestiegenen Mitgliederzahl in den Standardisierungsgremien kommt es hier häufig zu verzögerten Entscheidungen oder politisch motivierten Kompromissen.
Von diesen Einschränkungen einmal abgesehen, enthält die X.500-Spezifikation ausgereifte Konzepte, Modelle und Dienste (Services). Wenn die Protokollprobleme künftig statt mittels DAP mit Hilfe des Lightweight Directory Access Protocol (LDAP) gelöst werden können, steht ein Standard zur Verfügung, der den Aufbau einheitlicher Unternehmensverzeichnisse (Enterprise Directories) ermöglicht.
- LDAP - die pragmatische Anwort der Internetgemeinde
Das LDAP wurde als vereinfachter Ersatz für das X.500-Zugriffsprotokoll DAP entwickelt. Mittels DAP kommunizieren die Directory User Agents (DUA) mit den Directory System Agents (DSA) der X.500-Welt (s. Abb. 3). Ziel der Entwicklung von LDAP war es, 90 Prozent der DAP-Funktionalität bei 10 Prozent der Kosten zur Verfügung zu stellen. Dies wird durch den Transport über TCP und einen dementsprechend reduzierten Overhead, den Verzicht auf selten benutzte Funktionen, die Verwendung einfach zu verarbeitender Zeichenkettenformate anstelle der ASN.1 sowie eine einfachere Kodierung für den Transport erreicht.
LDAP bietet damit einen einheitlichen Zugriff und eine einheitliche Kommunikation mit Verzeichnisdiensten. Die ursprüngliche Idee, ein Gateway für den Zugriff auf X.500-Verzeichnisse zu schaffen, ist inzwischen weiterentwickelt worden. Über die einheitliche LDAP-Schnittstelle lassen sich auch andere proprietäre Verzeichnisdienste ansprechen oder eigenständige "LDAP-Server" bauen. Eine leistungsfähige Kommunikation zwischen LDAP-Servern ist zur Zeit jedoch noch nicht standardisiert. Interessenten sind hier entweder auf ein Produkt eines Herstellers angewiesen, oder die Kommunikation läuft über den Client bzw. die Client-Schnittstelle ab. Bis zu dem Zeitpunkt, bis eine zufriedenstellende Lösung angeboten wird, kann die Verwendung des Lightweight Data Interchange Format (LDIF) als einfacher Ersatz für eine Replikation zwischen jeweils zwei Servern helfen.
Der LDAP-Standard wird von der Internet Engineering Task Force (IETF) betreut, die für ihre Entwicklung einen Bottom-Up-Ansatz verfolgt: Interessierte Personen oder Organisationen können ihre Lösungen zur Standardisierung einreichen. Dieser Ansatz hat sich als sehr viel schneller und dynamischer erwiesen - und damit letztlich erfolgreicher - als der herkömmliche Top-Down-Ansatz, bei dem zunächst die Spezifikationen erarbeitet, diese in aufwendigen Prozeduren in den Standardisierungsgremien abgestimmt und aus diesen dann Produkte abgeleitet werden.
- Metaverzeichnisse - der integrative Weg
Viele Organisationen, die heute einen Verzeichnisdienst einsetzen wollen, nutzen bereits andere Verzeichnisse in ihren Systemen, wie beispielsweise Personalsysteme, Netzwerkdienste oder Mailsysteme.
Ziel von sogenannten Metaverzeichnissen (Metadirectory) ist es, diese zu synchronisieren. Ein Metaverzeichnis besteht aus einem Verzeichnisdienst und aus Werkzeugen für die Befüllung und Synchronisation. Metaverzeichnisse können Anwendungen mit konsistenten Informationen aus vielfältigen Datenquellen versorgen. Der Verzeichnisdienst dient als Konsolidierungspunkt und als "normales" Verzeichnis zur Versorgung der Anwendungen. Die Integrationswerkzeuge übernehmen die Aufgaben der Datenextraktion, -modifikation und -umformatierung. Dabei stellen sich besondere Anforderungen:
- Triggersteuerung
Bei Änderungen der Inhalte eines Verzeichnisses muß ein Impuls an das Metaverzeichnis gelangen, damit diese Änderungen verwaltet und auch anderen Anwendungen zur Verfügung gestellt werden können (Event Notification).
- Join-Regeln
In den Join-Regeln wird festgelegt, welche Objekte und Attribute eines bestimmten Verzeichnisses führend für andere Verzeichnisse sind.
- Filtermechanismen
Durch Filtermechanismen können die verzeichneten Informationen in der Art den verschiedenen Verzeichnissen zur Verfügung gestellt werden, daß diese von den unterschiedlichsten Anwendungen verarbeitet werden können.
- Scheduling
Nicht alle Anwendungen liefern den benötigten Impuls für die Triggersteuerung. Um einen Abgleich der verschiedenen Verzeichnisse zu gewährleisten, müssen die Zeitpunkte bestimmt werden, zu denen der Abgleich durchgeführt wird.
Um das Zusammenspiel mit verschiedenen Verzeichnisse zu verdeutlichen, soll das folgende Beispiel dienen: Wird ein neuer Mitarbeiter eingestellt, so müssen Einträge in den verschiedensten Verzeichnissen getätigt werden. Im Personalsystem wird ein Datensatz angelegt. Dieser wird dem Metaverzeichnis bekanntgemacht. Das Metaverzeichnis nimmt daraufhin Kontakt mit dem E-Mail- und dem Telefonverzeichnis auf, macht den Namen des neuen Mitarbeiters bekannt und fordert eine entsprechende E-Mail-Adresse und eine Telefonummer zurück. In diesem Beispiel soll keine Aussage darüber getroffen werden, in welchem Verzeichnis welche Daten gespeichert werden. Es soll lediglich deutlich gemacht werden, daß das Metaverzeichnis eine entsprechende Sicht (in diesem Beispiel einen Adreßeintrag) generiert. Diese Sicht ist zentral durch das Metaverzeichnis zu verwalten.
Die Verwendung von Metaverzeichnissen erlaubt nicht nur die flexibelste Integration von Altanwendungen in einen Verzeichnisdienst, sondern auch die beste Möglichkeit, Informationen aus anderen Verzeichnisdiensten zu konsolidieren:
Eine Integration kann nach den Wegen des Informationsflusses und den Arten der Bereitstellung unterschieden werden.
Wege des Informationsflusses sind:
- One-Way-Synchronisation
Die Verzeichnisinformationen werden in ausreichenden Abständen aus den Quellverzeichnissen in das Metaverzeichnis überführt.
- Two-Way-Synchronisation
Die Informationen fließen in beide Richtungen, um beispielsweise Mailverzeichnisse mit dem Verzeichnis der Personalabteilung abzugleichen. Das kann diskontinuierlich über Import und Export oder quasikontinuierlich über Replikationsmechanismen vorgenommen werden.
- N-Way-Synchronisation
Mehrere Verzeichnisse werden untereinander durch Replikation oder Import/Export miteinander abgeglichen. Hier sind nur noch sehr ausgefeilte Replikationsmechanismen durchführbar.
Arten der Informationsbereitstellung sind:
- Referenz
Die Verzeichnisinformationen verbleiben in den lokalen Verzeichnissen. Im Metaverzeichnis wird lediglich ein Verweis auf das lokale Verzeichnis eingetragen.
- Durchgriff
Daten aus Verzeichnissen von Altanwendungen werden nicht physisch in ein anderes Verzeichnis kopiert, sondern in Realtime und transparent durchgereicht. Das Metaverzeichnis bildet ein virtuelles Verzeichnis.
- Import/Export
Die Informationen werden diskontinuierlich in größeren Abstanden komplett neu geladen. Damit ist nur ein Transport in eine Richtung möglich (Distribution, zentraler Sammler). Das LDIF-Format arbeitet nach diesem Verfahren.
- Replikation
Zwei oder mehrere Verzeichnisse werden untereinander in festgelegten Abständen oder, wenn ein bestimmter Änderungsbestand aufgelaufen ist, abgeglichen. Dabei werden nur geänderte Einträge oder sogar nur die geänderten Teile der Einträge übertragen. Änderungshistorien werden auf beiden Seiten verfolgt und ausgewertet, damit immer nur der zuletzt geänderte Eintrag als gültiger Wert übertragen wird.
EINSATZMÖGLICHKEITEN UND NUTZENPOTENTIALE
Die Information im Verzeichnis kann verwendet werden, um
- Anwender so zu authentifizieren, daß sie sich mit einem Namen und Paßwort bei verschiedenen Systemen anmelden können
- Web-Seiten zu personalisieren
- ein Network Quality of Service (QoS), beispielsweise Netzwerkbandbreite gemäß dem Status des Anwenders, aufzubauen
- Gruppenzugehörigkeiten von sich anmeldenden Anwendern zu erkennen
- Konfigurationsinformation netzwerkweit für den Travelling User bereit zu stellen
- Ereignisse auszulösen. Ereignisse können zum Beispiel das Ausscheiden eines Mitarbeiters oder eine Beförderung sein.
Daten von verschiedenen Anwendungen werden von einem Verzeichnisdienst verfügbar und konsistent gehalten. Dieses bezieht im Innenverhältnis alle Mitarbeiter und im Außenverhältnis sämtliche Kundenstammdaten ein:
- Vermeidung inkonsistenter, redundanter Speicherung
- ein Dienst für alle Arten von Adreßstammdaten
- keine eigenständige Pflege von Anwendungen, die Adreßinformationen verarbeiten, sondern gemeinsame konsolidierte Bereitstellung in einem Dienst.
Durch die Berücksichtigung internationaler Standards wird eine kontrollierte Kommunikation mit Filialen ermöglicht. Eine größtmögliche Flexibilität an die örtlichen Gegebenheiten oder spätere Migrationen werden gewährleistet:
- zentrale und verteilte Lösungen auf Basis internationaler Standards
- Austausch, Replikation und Harmonisierung auf Basis einheitlicher Formate und Protokolle
- Kontrollierbarkeit der Nutzung und Bereitstellung durch beliebig konfigurierbare Sichten und Rechteprofile
- Zentrale Administration und Konfiguration für multiple Anwendungen
- Unterstützung beliebiger Rollen, Gruppen und anderer Organisationsformen
- nutzbar als zentraler Speicher für beliebige Benutzerverwaltungen
- einheitliche Pflegekomponente für den Dienst
- Verringerung des Systemadministrationsaufwands.
LDAP wird durch seine zentrale Bedeutung zu einer strategischen Komponente:
- Geregelte Verteilung von Teilbeständen auf lokale Installationen und Konsolidierung lokaler Bestände in zentralen Diensten
- Nutzung von oder übergreifende Integration mit Verzeichnisdiensten, die zukünftig Bestandteil von Betriebssystemen, Groupware oder"Back-Office"-Suiten sind
- zunehmende Bereitschaft der Softwareindustrie, anstelle eigener Adreßstammdaten und Benutzerverwaltung die Standardschnittstelle LDAP für Verzeichnisdienste zu unterstützen,
- einheitliche Strategie für die Softwareentwicklung durch Nutzung von standardisierten Diensten.
Der Verzeichnisdienst ist eine flexible Komponente, die verschiedene Sichten und Verdichtungen auf verzeichnete Daten zuläßt:
- mittel- und langfristige hohe Rentabilität durch anwendungs- und plattformunabhängige Bereitstellung von Adreß- und vergleichbaren Daten
- vielfältigste Einsatzgebiete von der herkömmlichen Adreßverwaltung, über E-Mail-Verzeichnisse, Internet-Services, Raumplanung, Inventare, Benutzerdaten et cetera
- universelle Auswertungs- und Verdichtungsmöglichkeiten.
BEDARFSERMITTLUNG
Für eine erfolgreiche Integration eines Verzeichnisdienstes muß berücksichtigt werden, daß weitere Faktoren eine Rolle spielen. Sie lassen sich in zwei Gruppen aufteilen: Die Vielzahl von zu verwaltenden Attributen läßt sich nach den Regeln der Daten- oder Objektmodellierung sinnvoll zu größeren Aggregaten und Objekten gruppieren. Die zweite Gruppe beschreibt die Sichtbarkeit der Informationen und bestimmt die Komplexität des Verzeichnisdienstes. Unter- schiedlichen Nutzerklassen werden durch den Dienst unterschiedliche Sichten auf die Informationen im Verzeichnis geboten.
Neben der Funktionalität ist die Sicherheit des Verzeichnisdienstes von kritischer Bedeutung. Die Eigenschaften ...
Vertraulichkeit: Die Informationen stehen nur den definierten Nutzern zur Verfügung.
Integrität: Die Nutzer können Vertrauen in die Unversehrtheit der Informationen haben.
Verfügbarkeit: Die Informationen stehen vor Ort und zur Zeit der Nutzung zur Verfügung.
Zu den Grundfunktionen eines Verzeichnisdienstes gehören daher Mechanismen für den Zugriffsschutz zur Wahrung der Vertraulichkeit. In einem ersten Schritt müssen mögliche Anwendungsfelder identifiziert werden, von denen der Verzeichnisdienst um weitere Attribute und Objekte erweitert werden kann. Hier ist insbesondere zu beachten, daß verschiedene Anwendungsfelder Abhängigkeiten und Überschneidungen in sich tragen.
Eine sinnvolle Aggregation kann die anfängliche Nutzung der bestehenden E-Mail-Adreßdaten, eine Erweiterung um Telefoneinträge, Zertifikate und so weiter sein. Folgende Ausbaustufen können die Definition von Rollen- und Gruppenkonzepten mit den entsprechenden Berechtigungen bis hin zur Verwaltung und Verteilung der bestehenden Ressourcen, sprich Hard- und Software, sowie die Verzeichnung des gesamten Invantars (Facility Management) sein.
Von Anfang an sollten grundlegende Konzepte vorbereitet werden, in denen eine mögliche Einbeziehung von Kunden (Stichwort Außenwirkung) für den Zugriff auf den Verzeichnisdienst geregelt werden, damit sich nicht unbemerkt Sicherheitslücken auftun, die einen großen Schaden für ein Unternehmen anrichten können und die später häufig nur schwer auszugleichen sind.
Im folgenden werden nun beispielhaft die Produkte der großen Hersteller beschrieben und verglichen.
ADS: Microsofts Active Directory Service (ADS) verfolgt nicht den klassischen Metaverzeichnis-Ansatz, da der eigentliche Verwendungszweck in der Unterstützung des Betriebssystems und in der Verteilung von COM-Objekten liegt. Daneben erlaubt ADS auch die Nutzung anderer Objekte. Die geplante User-Standardzahl liegt nach Angaben des Herstellers bei 1-2 Millionen. Der Lieferumfang umfaßt 1.100 voreingestellte Properties (Objekte). Die Namensmodelle sind nach X.500 anpaßbar. Das Low-Level-Interface zum Clientzugriff auf ADS ist LDAPv3. Upper-Level Interfaces werden durch COM+ und OLDB ermöglicht. Nach Angaben des Herstellers wird ADS mit Windows 2000 Server Anfang nächsten Jahres ausgeliefert. Der Site-Server und Exchange Platinum werden zukünftig auf ADS zugreifen. Nach Möglichkeit werden offene Standards unterstützt, was durch die Mitgliedschaft in der IETF bezeugt werden soll. Um den Verzeichnisdienst als Metaverzeichnis zu verwenden, wird es Synchronisations-Agents geben. Als Unternehmens-Verzeichnisdienst ist diese erste Version nicht geeignet. In Zukunft wird auch ein gemeinsamer Zugriff von Microsoft Exchange und Lotus Notes möglich sein. Es ist damit zu rechnen, daß sich Win 2000, und damit der mitgelieferte Verzeichnisdienst, etablieren wird. Das Ziel für die meisten Organisationen wird der Einsatz von Metaverzeichnissen sein. Das bedeutet, daß ADS nicht der einzige Verzeichnisdienst in einem Unternehmen sein wird. Allerdings muß gewährleistet werden, daß ADS mit anderen Verzeichnisdiensten zusammenarbeiten kann.
NDS: Novell bietet mit dem Novell Directory Service (NDS) und ZEN Works (Zero Effort Network) eine interessante Alternative zu ADS. NDS ist nach dem X.500-Modell aufgebaut (X.500-basiert, ohne die Komponenten DAP/DSP zu verwenden) und bietet eine LDAP-Schnittstelle zur Kommunikation mit anderen Verzeichnisdiensten. ZEN verspricht zentrale Benutzerverwaltung und läßt sich gut in NDS integrieren. Eine Unterstützung von Windows 2000 durch NDS wird von Microsoft aktiv mitvermarktet. Da aber absehbar ist, daß sich Microsoft mit Win 2000 etablieren wird und künftige Anwendungen für dieses Betriebssystem geschrieben werden, läßt sich erahnen, daß sich Microsoft langfristig auch mit einem nicht ganz so guten Verzeichnisdienst durchsetzen wird.
Novell bietet mit seinen Produkten ein hohes Maß an Datensicherheit. Diese Security kann für den Verzeichnisdienst aber nur im wesentlichen durch die Verwendung von Netware gegeben werden. Die direkte Abhängigkeit zwischen NDS und Netware soll langfristig aufgelöst werden. Zur Zeit würde aber die Einführung von NDS zugleich auch die Einführung von Netware bedeuten, soweit Netware noch nicht verwendet wird. Zum Einsatz von NDS als Metaverzeichnis muß man heute noch auf Connectoren/Agents von weiteren Herstellern zugreifen.
Für den Spätherbst 1999 ist NDS für NT und für Sun Solaris geplant; für das Jahr 2000 für HP-UX. Ob auch das Betriebssystem OS/390 miteingeplant wird, ist zur Zeit noch offen. Die graphische Oberfläche soll zukünftig vollständig in Java programmiert werden. Das Novell-Core-Protokoll wird zukünftig TCP/IP sein. Laut Novells Produktstrategie hat die Weiterentwicklung von ZEN Works die höchste Priorität. Mit NDS wird in Zukunft ein Meta-Directory-Ansatz verfolgt. Diesem Anspruch wird Novell zur Zeit noch nicht gerecht.
Directory 4.0: Netscape stellt den Vorreiter in der LDAP-Bewegung dar und bietet deshalb auch die größte Produktpalette an. Der maßgebliche Entwickler von LDAP an der University of Michigan, Tim Howes, ist zwischenzeitlich in gleicher Funktion bei Netscape tätig.
Netscapes Directory-Server scheint für den sofortigen Einsatz eine gute Wahl zu sein. Es handelt sich hier um ein ausgereiftes Produkt, das den Metaverzeichnis-Ansatz verfolgt und sich im Bereich Intranet/Extranet in vielen Unternehmen schon bewährt hat.
Die Objektverwaltung in Netscape Directory 4.0 erfolgt in einer hierarchischen Datenbank und ist an X.521 angelehnt. In dieser Datenbank lassen sich auch Organisationsstrukturen nachbilden. Die Anzahl der möglichen Attribute der zu ver- zeichnenden Objekte wird mit unbegrenzt angegeben. Zur Synchronisation und Replikation mit anderen Servern und Verzeichnissen werden Agents frei über das Internet verteilt. Es kann auch auf die Dienste der Firma Isocor zugegriffen werden, da Netscape erst kürzlich deren Lizenzen gekauft hat.
Die Multiplattform-Strategie bleibt bestehen (NT, Unix-Derivate, Linux, derzeit keine IBM-Mainframes OS/390). Zum Produkt gehört ein Standardsatz Tools mit eigener GUI. Services Ready Infrastructure beinhaltet folgende Module: Certificate Manager, Directory Service, EC-Xpert, NAS (Netscape Application Server) und Process Manager (derzeit in der Version 1.0). Netscape-Anwendungen stehen in Java und HTML zur Verfügung. Eine Kaskadierung mehrerer Metaverzeichnisse ist ebenfalls möglich. Auf diese Weise ist die Möglichkeit gegeben, die Verzeichnisinformationen der einzelner Niederlassungen zusammenzuführen.
Die Strategie von Netscape ist die konsequente Weiterentwicklung von internationalen Standards (nach IETF). Diese werden auch beim Ausbau der eigenen Produktpalette berücksichtigt. Nach der Übernahme durch AOL bewahrt Netscape dennoch ein eigenständiges, unabhängiges Image und bleibt auch weiterhin als juristische Person bestehen. Der Fokus von Netscape-Produkten wird sich daher voraussichtlich weiter nach außen richten (Intranet/Extranet). Netscape bietet eine umfangreiche Serviceunterstützung. Weitere Synergie-Effekte werden durch die Kooperation mit Sun erwartet.
Domino 5.0: Mit der neuen Domino-Version wird Lotus auch seinen Directory-Server anbieten. Dieses Domino-Directory wird auch ohne die Notes-Infrastuktur vertrieben werden. Somit präsentiert Lotus ein echtes Verzeichnis im Sinne von Netscape. Es soll langfristig zu einem Metaverzeichnis weiterentwickelt werden. Die erste Version sollte allerdings noch nicht zum Einsatz kommen, da zur Zeit im Grunde noch eine Sytemdatenbank verwendet wird. Im Gegensatz zu ADS und NDS ist der Lotus-Ansatz aber nicht am Betriebssystem orientiert. Schlüsseltechnologien sind LDAPv3 mit weiteren sowie X.509. Zusätzliche Module sind der Directory-Assistance zur Verwaltung von Server- und LDAP-Verweisen sowie der Directory-Catalogue.
Strategisches Ziel von Lotus ist es, mit Domino eine komplette IT-Infrastruktur anbieten zu können. LDAPv2 wird ab der Notes Version 4.6 angeboten. Der Notes-Client wird zukünftig die meisten Internet-Standards unterstützen und damit auch einen Browser enthalten. Notes-Datenbanken können ab Version 5.0 64 GB groß sein. Wichtig ist, daß der Directory-Server ohne weitere Lotusprodukte funktioniert, was im Gegensatz zu NDS, das auf Netware angewiesen ist, steht. Das störungsfreie Zusammenspiel von verschiedenen Domino-Versionen wird allerdings noch in Frage gestellt. Für das Produkt spricht die große Verbreitung von Notes/Domino.
Global Directory Service: Isocor bietet mit GDS ein sehr leistungsfähiges Metaverzeichnis an, das seine Stärken in den Konnektoren zum Zugriff auf bestehende Verzeichnisse begründet, da der Hersteller traditionell im Bereich der Gateway-Technologie zu Hause ist. GDS entspricht in seinem Aufbau den X.500-’93er-Spezifikationen, die um die Anforderungen nach LDAPv3 erweitert worden sind. Somit kann die Replizierung sowohl mittels X.500 als auch über LDAPv3 erfolgen.
Die Metaverzeichnis-Strategie wird insofern verfolgt, als daß Isocor seinen eigenen Verzeichnisdienst GDS anbietet, der um die Produktpalette Meta Connect erweitert werden kann. Die Kombination dieser Komponenten bildet ein echtes Metaverzeichnis. Voraussetzung für den Einsatz eines Verzeichnisdienstes ist der DCNS (Directory Change Name Service), durch den Veränderungen in verschiedenen Verzeichnissen synchronisiert werden können.
Zur Zeit beinhaltet GDS Microsofts Active Directory Service und Netscapes Directory DCNS und arbeitet somit problemlos mit Meta Connect zusammen. Im Falle von ADS würde Isocor als weitere Partei in einem Projekt auftauchen, im Falle von Netscape würde dieses Problem nicht auftreten, da die Produktpalette von Netscape inzwischen die Konnektoren von Isocor enthält.
Secure Way: IBM bietet mit seinem Directory Service Secure Way (vormals E-Network) einen Verzeichnisdienst, der sich strikt an den Standards der IETF orientiert. Laut IBM werden die bestehenden X.500-Verzeichnisdienste nicht weiterentwickelt. Strategisches Ziel von IBM ist es, alle bestehenden Anwendungen LDAP-fähig zu machen, damit diese auf eine gemeinsame Informationsbasis zugreifen können. Secure Way soll zu einem Metaverzeichnis ausgebaut werden. Der Verzeichnisdienst wird als Kern der E-Business-Produktpalette angesehen. Interessant ist, daß Zugriffe auf alle Notes Public Adress Books möglich sind, auch für ältere Versionen wie R3 und R4.
AUSBLICK
Die rasante Entwicklung der LDAP-Bewegung macht deutlich, daß X.500 zwar nichts an seiner Aktualität eingebüßt hat, jedoch immer mehr an Bedeutung verlieren wird. LDAP ist inzwischen weit über seinen eigentlichen Ansatz, einen einfachen Zugang zu X.500-Verzeichnisdiensten zu ermöglichen, hinausgewachsen. Hinter LDAPv3 verbirgt sich nicht mehr eine reine Protokoll-Beschreibung, sondern, ähnlich wie bei X.500, eine ganze Familie von Standards zu Verzeichnisdiensten. Attribute und Objekte analog zu X.520/ X.521 sind inzwischen beschrieben. Neben dem eigentlichen Zugangsprotokoll LDAP wird zur Zeit das Inter-ServerAustauschformat LDIF (Lightweight Directory Interchange Format), LDUP (LDAP Duplication/Replication/Update Protocol) sowie weitere LDAP Extensions (LDAP Ext) in Arbeitsgruppen standardisiert.
* Wirtschaftsingenieur Felix von Bredowist Projektleiter der Project Consult Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH in Hamburg