M 2.236 Planung des Einsatzes von Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Grundsätzlich gibt es zwei Einsatzszenarien für eDirectory:

Abstrakt gesehen bildet das eDirectory eine hierarchisch und baumartig organisierte, Objekt-basierte Datenbank. Es ist an den Verzeichnisdienst-Standard X.500 angelehnt, von dem es die interne Struktur und den internen Aufbau entliehen hat. Es ist jedoch kein X.500-kompatibler Verzeichnisdienst, da das Zugriffsprotokoll auf dem proprietären NDAP (Novell Directory Access Protocol) basiert.

Das Baum-Konzept von eDirectory stellt sich auf folgende Weise dar: in einem Baum (Tree) werden Server, Benutzer und weitere Ressourcen abgebildet und können durch den Baum-Administrator verwaltet werden. Ein Baum bildet grundsätzlich eine administrative Grenze und limitiert auch den Wirkungsbereich von Berechtigungen.

Ein eDirectory-Verzeichnisbaum besteht aus verschiedenen Objekten. Jedes Objekt gehört einer ausgezeichneten Klasse an, z. B. Benutzerobjekt oder Serverobjekt, und ist gemäß dieser Klasse aus verschiedenen Attributen bzw. Eigenschaften zusammengesetzt. Die verschiedenen Objektattribute können unterschiedliche Werte aufnehmen, z. B. Telefonnummer oder IP-Adresse. Die Informationen über die bestehenden Objektklassen inklusive der darin vorkommenden Attribute werden im Directory-Schema gehalten. Durch Änderungen der Schemadefinition können neue Objektklassen erzeugt oder bestehende Objektklassen mit veränderten Attributsätzen versehen werden. Bei Veränderung des Schemas spricht man dann vom Extended Schema. eDirectory kennt verschiedene vordefinierte Objekttypen:

In einem eDirectory-Baum gibt es immer eine ausgezeichnete Wurzel, die eine gewisse Sonderstellung besitzt: sie wird bestimmt durch den ersten Server, der in einem Baum installiert wird. Auf diesem Server läuft die Zertifizierungsstelle ( CA ) des Baums, der Voraussetzung für die Einbindung weiterer eDirectory-Server in den Baum ist. Die CA kann später auch auf einen anderen eDirectory-Server verschoben werden. Sämtliche weiteren eDirectory-Installationen müssen sich bei dem gegebenen eDirectory-Baum anmelden. Dabei muss der genaue Kontext, in dem der eDirectory-Server in einen bestehenden Baum eingebunden wird, angegeben werden. Ein späteres Verschieben der eDirectory-Server ist nur sehr schwer möglich, so dass der Server-Kontext im Voraus geplant werden muss.

Die ersten drei eDirectory-Server eines Baums erhalten automatisch eine vollständige Replica der Verzeichnisdaten, die weiteren nicht mehr - sofern dies nicht explizit so konfiguriert wird.

Nach einer Standardinstallation existiert eine zunächst einfache eDirectory-Struktur, die von eDirectory angelegt wird und dann entsprechend der Planung verändert werden kann. Da eDirectory primär der Verwaltung von IT-Ressourcen dient, sollte beim Aufbau der eDirectory-Baumstruktur darauf geachtet werden, dass die Struktur vornehmlich auf administrative Gegebenheiten abgestimmt wird. Wenn stattdessen zwanghaft die organisatorische Unternehmensstruktur bis ins Kleinste nachgebildet wird, kann dies zu Problemen in der Administration führen.

Es ist weiterhin darauf zu achten, dass die gewählte Baumstruktur nicht zu flach ist, damit sich die Replizierung zwischen den eDirectory-Servern nicht auf den gesamten Baum auswirkt. Der Ausfall eines einzelnen eDirectory-Servers oder der Verbindung dieses Servers zum Restsystem führt anderenfalls zu Fehlermeldungen sämtlicher in den Replizierungsring eingebundener Server.

Die möglichen Anordnungen von eDirectory-Objekten, d. h. welches Objekt welche anderen Objekte enthalten darf, welche Attribute existieren und aus welchen Attributen Objekte zusammengesetzt werden, wird durch das so genannte eDirectory-Schema definiert. Das von eDirectory vorgegebene Schema kann verändert werden, dies stellt jedoch einen gravierenden Eingriff in die Verzeichnisstruktur dar, der nur nach sorgfältiger Planung durchgeführt werden darf.

Der eDirectory-Verzeichnisdienst bietet die Möglichkeit, mit anderen Verzeichnisdiensten über einen Synchronisationsmechanismus Daten im XML-Format abzugleichen. Als XML-Schnittstelle steht dazu das Produkt DirXML zur Verfügung. Diese besteht aus einem Kern (engine) und verschiedenen Treibern für diverse unterstützte Zielsysteme, z. B. Lotus Notes, SAP R/3, Windows 2000 Active Directory, Netscape (iPlanet), etc. Es gibt dabei zwei Kommunikationskanäle: Zum einen den so genannten Publisher Channel, unter dem fremde Verzeichnisdienste Änderungen ihres Datenbestandes dem eDirectory mitteilen können. Zum anderen gibt es den Subscriber Channel, mit dessen Hilfe eingeschriebene fremde Verzeichnisdienste von Änderungen im eDirectory erfahren.

näheres zur Grafik wird im Text erläutert

Der Einsatz der DirXML-Schnittstelle bedarf auf jeden Fall einer genauen Planung, um später unerwünschte Seiteneffekte zu vermeiden, z. B. Endlosschleifen.

Im Rahmen der eDirectory-Planung sind folgende Aspekte zu berücksichtigen:

Für jede Organisation muss entschieden werden,

Generell muss die geplante eDirectory-Struktur dokumentiert werden. Dies trägt maßgeblich zur Stabilität, konsistenten Administration und damit zur Systemsicherheit bei. Es empfiehlt sich insbesondere festzuhalten:

Für jedes eDirectory-Objekt sollte dokumentiert sein:

Die eDirectory-Administration und das benutzte administrative Modell muss auf jeden Fall geplant werden. Besonders auch die Einrichtung einer Rollen-basierten Administration und die Möglichkeit der Delegation von Administrationsaufgaben sind sicherheitskritisch. Bei sinnvoller, übersichtlicher und konsistenter Planung kann die Sicherheitsadministration durch diese Funktionalitäten transparenter und effizienter gestaltet werden.

Die Nutzung von eDirectory beinhaltet den Betrieb einer eigenen, eingebundenen Zertifizierungsstelle (CA). Auch hier muss sich die Planung nach den Anforderungen und besonders nach der zuvor aufgestellten Sicherheitsleitlinie richten.

Zusammengefasst ergeben sich folgende sicherheitsrelevante Kernaspekte bei der eDirectory-Planung:

Abschließend sei darauf hingewiesen, dass Fehler in der eDirectory-Planung und den zugrunde liegenden Konzepten nach erfolgter Installation nur mit beträchtlichem Aufwand zu berichtigen sind.

Ergänzende Kontrollfragen: