Let’s talk LDAP: virtual
Verzeichnisdienste zählen zu den gängigen Arbeitsmitteln von Netzwerk- und Systemadministratoren. Sie werden häufig zur Verwaltung von Benutzer- und Miterabeiterdaten sowie allgemeinen Netzwerkressourcen wie Drucker oder Rechner verwendet. Das Active Directory verfolgt bespielsweise diesen Ansatz. Viele der organisatorischen Teilzweige eines Unternehmens betreiben ihr eigenes Verzeichnis mit ihrer individuellen Struktur. In einigen Betrieben ist dadurch teils ein Wildwuchs an solchen Verzeichnisdiensten entstanden.
Zur Schaffung einer zentralen und vor allem unternehmensweiten Identitätsschicht stellt die Integration solcher Dienste eine entsprechende Herausforderung dar. Um diese Herausforderung zu meistern, gibt es unterschiedliche Ansätze. Einer davon stellt der Einsatz eines virtuellen Verzeichnisses dar. Innerhalb dieser Gattung existieren mehrer Produkte und Suiten am Markt. Diese entstammen sowohl dem kommerziellen sowie auch dem quelloffenen Lager. Das Projekt Penrose ist ein Vertreter von beiden. Das komplett in Java implementierte virtuelle Verzeichnis obliegt zwei verschiedenen Lizenzoptionen: einer kommerziellen sowie einer quelloffenen Lizenz (GPL). Die Paketierung setzt jedoch auf der selben Codebasis auf. Mit Penrose lässt sich eine integrierte Sicht auf unterschiedliche Datenquellen realisieren. Im Grundumfang bietet der Lösungsansatz bereits Adapter zur Anbindung von bestehenden Verzeichnisdiensten sowie von relationalen Datenbankystemen per JDBC. Darüber hinaus lassen sich aber auch individuelle Adapter auf Basis eines API entwickeln. Somit ist es möglich, die eigene heterogene Verteilung von Identitätsdaten in einer virtuellen Sicht zusammenzuführen. Der Abruf der Daten erfolgt dann mittels dem weit verbreiteten Lightweight Directory Access Protocoll (LDAP).
Es ist richtig, dass LDAP Grenzen hat. Deshalb darf LDAP meiner Meinung nach auch nur als Teil innerhalb der Fragestellung „IAM“ betrachtet werden.
Im konkret angesprochenen Beispiel ist LDAP auch nur eine weitere Möglichkeit mit dem IAM-Server zu kommunizieren. LDAP hat nunmal eine weite Verbreitung und Akzeptanz. Deshalb ist es ein wichtiges Protokoll in dem Umfeld.
LDAP hat Grenzen und ersetzt kein vollwertiges IAM-System.
Gerade durch den Einsatz von virtuellen Directories wird die Integrationsfähigkeit gefördert respektive unterstützt. So kann die Datenstruktur an notwendige und geforderte LDAP-Schemen angepasst werden.
Penrose im Speziellen bietet hier tiefgreifende Organisationsmöglichkeiten der Daten. Das Mapping auf ein Schema kann verhältnismäßig einfach durchgeführt werden.
Das virtuelle Directory Penrose ist zur Anbindung an ein IAM-System im Einsatz. Im Detail: Der IAM-Server ist in der Lage über LDAP zu kommunizieren und die dabei von ihm stammenden individuellen Datenstrukturen in definierte LDAP-Schemen (konret: inetOrgPerson) zu wandeln.
Hallo,
entscheidend bei der Verwendung von Directories ist ja die Integrationsfähigkeit in bestehende IT-Landschaften.
Welche Erfahrungen gibt es denn mit Penrose? Wie wurde es bisher eingesetzt?