Das Rezept ist simpel: Man nehme eine Hand voll Listen - E-Mail-Accounts, Adressverzeichnisse oder Aufstellungen der Benutzerrechte eines großen Netzwerkes. Anschließend fasse man die unterschiedlichen Verzeichnisse zu einem einzigen zusammen und garniere dieses mit Features zur Verwaltung der Daten. Fertig ist der Verzeichnisdienst.
Klassische Benefits: Zeit, Geld und Sicherheit
Verzeichnisdienste, auch Directory Services genannt, dienen der Administration von Firmenressourcen über Computernetze. Mit ihrer Hilfe können Benutzer Personendaten in Anwendungen kostengünstiger erfassen, verwalten und integrieren. Und sie können Sicherheitsprobleme durch inkonsistente oder nicht aktuelle Einträge bereinigen.
Im Wesentlichen decken Directories vier Funktionsbereiche ab:
- Sicherheit: Verzeichnisdienste stellen Funktionen bereit, mit denen Benutzer Schutzrechte vergeben, Mitarbeiter authentifizieren und autorisieren sowie Daten verschlüsseln können. Auf diese Weise schützen Directories Informationen vor unberechtigter Nutzung.
- Partitionierung: Verzeichnisse lassen sich physikalisch auf verschiedene Speicher oder Rechner aufteilen. So können sie große Datenmengen bewältigen und garantieren trotzdem eine gute Performance.
- Verteilung: Anwender können Verzeichnisse auf mehreren welt-weit verteilten Rechnern installieren. Dieser Verbund arbeitet dann wie ein einziges Verzeichnis und leitet Suchanfragen bei Bedarf innerhalb des Clusters weiter.
- Replikation: Verzeichnisse mit ganz oder teilweise identischem Inhalt lassen sich durch Replikationsmechanismen in einer vorher festgelegten Weise abgleichen. Indem Directories Informationen auf mehrere Rechner kopieren, können auch weit voneinander entfernte Anwender schnell und sicher darauf zugreifen, ohne dabei Inkonsistenzen befürchten zu müssen.
Dank der Daten, die in Verzeichnissen gespeichert sind, lassen sich einzelne Anwender so authentifizieren, dass sie sich unter gleichem Namen und Passwort bei verschiedenen Systemen - etwa während einer Reise - anmelden können. Dabei sorgen die zugrunde liegenden Directories dafür, dass die Gruppenzugehörigkeit des angemeldeten Benutzers und sonstige Konfigurationseinstellungen stets berücksichtigt werden. So regeln sie etwa, dass jeder Anwender - immer und überall - eine vom Server speziell auf seine Bedürfnisse zugeschnittene personalisierte Web-Seite zugewiesen bekommt. Sie garantieren dem User eine seinem Status entsprechende Netzwerkbandbreite. Und sie passen die von ihnen verwalteten Daten an, wenn etwa Mitarbeiter ausscheiden oder befördert werden. Verzeichnisse halten auch Daten von verschiedenen Anwendungen verfügbar und konsistent. Damit können Administratoren Informationen über Mitarbeiter sowie Kunden zentral erfassen und somit deren redundante Speicherung verhindern. Zudem müssen sie Ad-ressinformationen in den einzelnen Anwendungen nicht laufend neu einpflegen, sondern können sie in einem gemeinsam von allen Applikationen zu nutzenden Dienst bereitstellen.
Internationale Standards ermöglichen es, dass zum Beispiel Verzeichnisse von Filialen kontrolliert miteinander kommunizieren können. Auf Basis einheitlicher Formate und Protokolle lassen sich Daten austauschen und replizieren. Gleichzeitig kann der jeweilige Administrator Zugriffsrechte und Ansichten bei den verschiedenen Filialen individuell festlegen.
Abgespeckte Datenbanken mit Zusatzqualitäten
Verzeichnisdienste sind prinzipiell ähnlich wie Datenbanken organisiert. Im Unterschied dazu
-überwiegen in Verzeichnisdiensten lesende Zugriffe.
-muss das Abfragen von Verzeichnisdiensten auch bei hohen Zugriffszahlen schnell gehen.
-kennen Verzeichnisdienste keine komplizierten Transaktionsmechanismen. Schreibzugriffe sind selten und verschwindend klein.
-nutzen Verzeichnisdienste Replikationen zur Steigerung der Performance. Auch Inkonsistenzen sind für kurze Zeit tragbar.
Ähnlich wie Datenbanken arbeiten auch Directories nach einheitlichen Standards wie X.500. Diese definieren die Struktur der weltweit arbeitenden Verzeichnisdienste.
X.500 ist ein 1988 von CCITT (Internationale Gesellschaft der Telefongesellschaften) spezifizierter Standard, der auf dem ISO/OSI-Protokoll aufsetzt. X.500-Directories sind hierarchisch aufgebaut und nutzen unterschiedliche Level für jede Informationskategorie wie Staat, Land und Stadt.
Sie bieten leistungsfähige Suchmöglichkeiten mit beliebigen komplexen Abfragen, unterstützen ein strukturiertes Informationsrahmenwerk und lassen sich lokal erweitern. Anwendungen wie E-Mail und automatische Betriebsmittel-Finder können auf die Information zugreifen, egal wo sie sich befindet. Zudem lassen sich Directories, die diesen Standard unterstützen, dezentralisiert warten, so dass jeder Betreiber nur seinen Teil des Verzeichnisdienstes verwalten muss.
Allerdings sind X.500-Directories sehr aufwendig zu implementieren. Darüber hinaus benötigen sie relativ viel Hauptspeicher sowie CPU-Zeit auf der Client-Seite und arbeiten daher sehr langsam.
Schneller geht die Übertragung der Daten mit Hilfe von LDAP, dem Lightweighted Directory Access Protocol. LDAP ist eine für das Internet abgespeckte Version von X.500 und wird heute ebenfalls von den meisten auf dem Markt befindlichen Verzeichnisdiensten unterstützt.
Meta-Directories - die Überverzeichnisse
Meta-Directories sind die Chefs der Verzeichnis-Szene: Sie können nicht nur die ihnen untergeordneten Listen, sondern auch unterschiedliche anwendungsspezifische Directories und Datenbanken in Organisationen mit heterogener IT-Infrastruktur koordinieren. Sie können Daten zuführen und synchronisieren. Darüber hinaus versorgen sie Anwendungen mit widerspruchsfreien Informationen aus vielfältigen Datenquellen. Spezielle Integrationswerkzeuge extrahieren diese, passen sie an und sorgen schließlich dafür, dass Meta-Directories nach außen wie ganz normale Verzeichnisdienste wirken.
Um all diesen Anforderungen gerecht zu werden, müssen Meta-Directories besondere Eigenschaften aufweisen:
-Sie müssen Triggersteuerung unterstützen: Ändert sich der Inhalt eines Verzeichnisses, so muss dieses das übergeordnete Meta-Verzeichnis informieren, damit die neuen Daten allen da-ran gekoppelten Anwendungen zur Verfügung stehen.
-Sie müssen Join-Regeln beachten: Diese bestimmen, welche Objekte und Attribute eines bestimmten Directory für andere als verbindlich gelten.
-Sie müssen Filtermechanismen enthalten: Diese garantieren, dass verschiedene Verzeichnisse ihre Informationen in dem Format erhalten, in dem die darauf zugreifenden Anwendungen arbeiten können.
-Sie müssen Scheduling unterstützen: Meta-Verzeichnisse müssen auch dann einen Abgleich der verschiedenen Verzeichnisse gewährleisten, wenn die angebundenen Anwendungen die für die Triggersteuerung benötigten Impulse nicht liefern. In diesem Fall muss festgelegt werden, wann und wie oft ein Abgleich stattfinden soll.
Meta-Directories nutzen verschiedene Wege, um Daten zu synchronisieren: Die Vielfalt reicht von der One-Way-Synchronisation, mittels der Verzeichnisinformationen in ausreichenden Abständen aus unterschiedlichen Quellverzeichnissen in das Meta-Verzeichnis überführt werden, zur Two- und N-Way-Synchronisation: Informationen fließen in zwei und mehr Richtungen.
Bei der Informationsübertragung via Referenz verbleiben die Informationen in den lokalen Verzeichnissen. Im Meta-Directory verweist ein Link auf das lokale Verzeichnis, auf dem der physikalische Zugriff erfolgt.
Mit Durchgriff bezeichnet man die Möglichkeit, Daten aus Altanwendungen bei Anfrage in Echtzeit transparent durchzureichen. Dabei bildet das Meta-Directory ein vir-tuelles Verzeichnis.
Daten können aber auch importiert und exportiert werden. In diesem Fall lädt das Meta-Verzeichnis die Informationen diskontinuierlich in größeren Zeitabständen komplett neu. Der Datentransport erfolgt nur in einer Richtung.
Bei der Übertragung von Informationen via Replikationen gleichen sich zwei oder mehrere Verzeichnisse untereinander ab. Das geschieht in festgelegten Abständen oder nur dann, wenn etwas geändert wurde. So genannte History-Werkzeuge verfolgen die Neuerungen auf beiden Seiten und garantieren, dass immer nur der zuletzt eingegebene Eintrag als gültiger Wert übertragen wird.
Verzeichnisgeschäft wächst mit dem Intranet mit
Verzeichnisse und Meta-Directories werden in Zusammenhang mit der wachsenden Infrastruktur der Unternehmen immer wichtiger. Wie Forrester Research ermittelte, setzen Großunternehmen in einem einzigen Netz bis zu 180 Verzeichnisdienste zur Administration des Netzwerkes und der einzelnen geschäftskritischen Applikationen ein.
Mit steigender Tendenz: Analysten von IDC und der Radicati Group prognostizierten bei Verzeichnisdiensten ein durchschnittliches jährliches Wachstum des Weltmarktes um 16 Prozent von zwei Milliarden Euro im Jahr 2000 auf 3,6 Milliarden Euro im Jahr 2004. Bei Meta-Directories gehen die Analysten sogar von einem durchschnittlichen jährlichen Wachstum des Weltmarktes um 57 Prozent aus. Statt einer Milliarde Euro im Jahr 2000 werden Meta-Directories im Jahr 2004 knapp fünf Milliarden Euro erwirtschaften - ein gutes Geschäft für die Anbieter dieser Produkte.
Wo IT ist, ist Microsoft. Mit "Active Directory Service", kurz "ADS", ist der Software-Gigant auch im Verzeichnismarkt vertreten. Dabei vermarktet er die Lösung nicht exklusiv, sondern liefert sie kostenlos zu den Betriebssystemen von Windows mit. ADS verfolgt keinen klassischen Meta-Verzeichnis-Ansatz, sondern unterstützt das Windows-Betriebssystem und hilft bei der Verteilung von COM- und dem Import von Fremdobjekten. Darüber hinaus enthält es 1.100 voreingestellte Objekte, deren Namensmodelle X.500-kompatibel sind, und bedient LDAPv3. Meta-Konnektoren verbinden etwa mit Windows NT 4.x, Windows 2000, Lotus Notes und Exchange.
Ärgster Konkurrent von Microsofts Lösung ADS dürfte wohl "NDS E-Directory" sein, ein Angebot von Novell. "NDS" arbeitet plattformübergreifend und berücksichtigt die Betriebssysteme Solaris, Windows NT/2000 und Netware sowie Linux. Es unterstützt LDAPv3, um Verzeichnisse anderer Hersteller zu synchronisieren, und ist hoch skalierbar. Verzeichnisbasierende Zusatzlösungen von Novell wie "Single Sign" sorgen dafür, dass Mitarbeiter nur ein einziges Passwort benötigen, um sich an allen für sie relevanten Applikationen anzumelden. "DirXML" erweitert NDS um die Möglichkeit, andere Directories oder Applikationen anzugleichen. Die Integration der No-vell Modular Authentification Services NMAS in NDS unterstützt alle Möglichkeiten der Authentifizierung. Fingerabdruck, Iris-Abtastung, Gesichts-, Stimm- und Unterschriftserkennung sowie Token, Smart-Cards und Passwörter. Zudem lassen sich einzelnen Nutzern, Applikationen und Zugriffsmethoden dynamisch Authentifizierungsregeln zuweisen.
Critical Path vermarktet das Meta-Directory "In-Join". Dieses System gibt kein eigenes Directory vor, sondern nutzt zum Datenabgleich das jeweilige System des Anwenders.
Ein integrierter Universal-Database-Konnektor verwendet LDAP und SQL-Protokolle, um Datenbanken anzusprechen. Network-Operating-System-Konnektoren gewährleisten den Zugang zu Netzwerk-Betriebssystemen. Applikations-Konnektoren verbinden verschiedene Applikationen sowie Applikationen und Datenbanken und stellen sicher, dass nur autorisierte Personen Zugang zu den Daten haben. Universal-Konnektoren erlauben es Endanwendern, auch für Applikationen, die nicht direkt vom Meta-Directory unterstützt werden, Konnektoren zu erstellen. Die neueste Version "In-Join Meta-Directory 3.0" bietet eine verbesserte Architektur in Bezug auf KonnektorViews. Sie ermöglicht ein einfacheres Management komplexer Meta-Directory-Umgebungen.
IBM und Siemens mischen im Directory-Geschäft mit
Lotus bietet mit "Domino 5.0" ebenfalls einen Directory-Dienst an. Er unterstützt LDAPv3 und X.500. Zudem berücksichtigt der Notes-Client die meisten E-Mail-Standards und enthält zudem einen Webbrowser.
Auch Netscape hat einen Directory-Service entwickelt. Der Netscape "I-Planet Directory Server" ist ein generell verwendbarer Direc-tory-Server mit einigen Netscape-eigenen LDAP-Anwendungen. Die Objektverwaltung erfolgt in einer hierarchischen Datenbank und ist an X.521 angelehnt. Die zu verzeichnenden Objekte können mit beliebigen Attributen versehen werden. Zur Synchronisation und Replikation mit anderen Servern und Verzeichnissen nutzt Netscape Agenten im Internet.
IBM vermarktet mit "Secure Way" einen Verzeichnisdienst, der sich strikt an den Standards der IETF orientiert. Zur Verwaltung der verzeichneten Informationen benutzt Secure Way die IBM-eigene DB2-Datenbank. Im Lieferumfang der IBM-eigenen Betriebssysteme AIX, OS/390 und OS/400 ist Secure Way bereits enthalten. Für Sun Solaris und Windows NT können Nutzer die Software kostenlos von der IBM-Homepage herunterladen.
Auch Siemens hat mit "Dir-X Meta-Directory" ein eigenes Verzeichnis entwickelt. Der Server "Dir-X" ist vollständig LDAPv3-kompatibel und basiert auf dem X.500-Standard. Er dient der Datenhaltung und unterstützt neben Windows NT und Windows 2000 auch Linux sowie verschiedene andere Unix-Plattformen.
"Dir-X-Metahub" ermöglicht die Synchronisation und Konsolidierung einer Vielzahl verteilter Verzeichnisse aus Anwendungen und Netzwerkbetriebssystemen.
Mittels "Dir-X-WAP" können Nutzer des Meta-Verzeichnisses von Siemens über ein WAP-fähiges Mobiltelefon oder einen PDA auf jeden angeschlossenen Verzeichnisdienst zugreifen. Dir-X-WAP fungiert dabei als Schnittstelle zwischen LDAP-Directories wie Dir-X und der übrigen WAP-Infrastruktur. Gleichzeitig bildet Dir-X Meta-Directory die Basis für SecurityInformationen in der WAP-Infrastruktur. So erhält der Anwender aufgrund seiner Telefonnummer oder eines Passworts und der im Directory hinterlegten Nutzerprofile nur die Informationen, für die er eine Berechtigung besitzt. (cry)
www.cp.net; www.ibm.de
www.lotus.de; www.microsoft.com
www.netscape.com
www.novell.com
www.siemens.com/directory