8 Nutzer-, Dienste- und Ressourcenverwaltung

8.1 Nutzerverwaltung

Einführung

• Eine Verwaltung von Nutzern/Personen ist notwendig, wenn die anonyme Nutzung eines Service nicht gestattet werden kann.
• Eine Nutzerverwaltung mittlerweile in jedem Betriebssystem integriert, in jedem nativ installierten System nutzbar.
• Für die rechnerübergreifende Nutzerverwaltung existieren ebenfalls Lösungen, sowohl in homogenen als auch heterogenen Umgebungen.
  Problem: Können alle integrierten Systeme die gleiche Schnittstelle nutzen, auch künftig zu integrierende Systeme?
• Zeitintensive Vorgänge - parallele Lösungen sind zu vermeiden, wegen Aufwand und künftigen Entwicklungen.
• Infrastrukturdienst

• Personendaten vom Studentenamt
• Erstellung eines account
  Nutzerkennzeichen, Passwort, E-Mail-Adresse, Home-Verzeichnis
• Befristung der Gültigkeit auf ein Semester
• Verlängerung der Gültigkeit für nächstes Semester
• Urlaubsemester

  • account ungültig (gesperrt)

• Einschreibung für nachfolgendes Semester

  • account aktivieren
    Home-Verzeichnis, E-Mail-Adresse

• Exmatrikulation

  • account ungültig
    sperren?, löschen?, Home-Verzeichnis?, E-Mail-Adresse?

• Person, die sich authentisieren kann (authentication)
• technisch nachweisbare Eineindeutigkeit
• Zuordnung von Berechtigungen (authorization)
• zeitliche Befristung

Ziel einer Nutzerverwaltung

• Effektive Verwaltung der Daten von realen Nutzern zum Zweck einer zeit-, orts- und systemunabhängigen Zuordnung von Rechten!

Aspekte der Verwaltung von Nutzern

• Einheitliche Authentifizierung in komplexer/heterogener IT-Umgebung
• Identifizierung
  einheitliche Namensverwendung (in heterogener IT-Umgebung)
• Gültigkeit
• Berechtigungen
• Kommunikation

• Entgelt
• Statistik
• Kundenpflege
• Umsetzung einer die IT-Nutzung beschreibenden policy

Für die Nutzerverwaltung relevante Daten

• zur Identifizierung - Name und Vorname, Adresse?, Geburtsdatum?
• Verifizierung - PA/Pass, Studentenausweis, Betriebsausweis
• zur Kommunikation - Adresse, E-Mail-Adresse, Telefonnummer
• bezüglich Gültigkeit - Ersteintrag, Beginn der Gültigkeit, Ende der Gültigkeit

  • Berechtigungen nur zeitweilig aussetzen?
  • Personendaten löschen?
    nein: spätere personelle Zuordnung kann notwenig sein
    Beispiel: MONARCH - Verantwortung für die Archivierung eines Dokuments

Spezifische Anforderungen

• Datenschutz
• Trennung von nutzeridentifizierenden sowie nutzercharakterisierenden Daten
• den Nutzer betreffende dezentral gespeicherte Daten (Rechte) müssen eindeutig zuordenbar sein
• automatische account-Generierung und -Aktivierung

  • technische Umsetzung der Authentifizierung

    • digitale Authentifizierungsmaßnahmen

  • technische Umsetzung der Eineindeutigkeit

    • automatisches handling der Nutzeridentität
      digitale Identität
      UID oder Personennummer

• Delegierung ausgewählter administrativer Aufgaben der Nutzerverwaltung an den Nutzer.

  • Änderung persönlicher Daten.
  • Aktivierung bestimmter Vorgänge.

• Schnittstellen

  • (automatische) Integration von Daten neuer Nutzer
  • Export benötigter Daten an spezifische Softwarelösungen
  • Authentifizierter direkter Zugriff
  • Filter- bzw. Konvertierungsmöglichkeiten

Zusammenfassung

• Zentrale Nutzerverwaltung muss beizeiten geplant und eingeführt werden! Ist die Basis für die Verwaltung von Diensten und Ressourcen!
• Es ist eine langwierige und schwierige Aufgabe, dezentrale Nutzerverwaltungen zu integrieren!

  • Redundanzen durch fehlende Eineindeutigkeit
  • unvollständige Personendaten
  • Widersprüche zur aktuellen policy
  • fehlende Kommunikationskanäle

• Namensräume müssen sehr zeitig definiert werden!
• Eine software-basierte Verwaltung ist die Grundlage für die Gewährleistung einer konstanten Dienstqualität auf hohem Niveau.
• Herstellerunabhängigkeit sowie die Verwendung von Standards und offenen Protokollen gewährleisten eine langfristige Nutzung

Frage 8.1.1: Ein Mitarbeiter aus dem IT-Bereich muss entlassen werden. Was ist seitens der Systemadministration zu realisieren? Welche Informationen sollten diesbezüglich in der zentralen Datenbasis vorhanden sein?

LaMeyer, A.; Ganesan, S.; Johansson, J.:
On Designing a Database for Integrated User Management: Pitfalls and Possibilities
in Proceedings of LISA-NT -- The 3rd Large Installation System,
Administration of Windows NT Conference, Usenix Assoc., 2000, ISBN 1-880446-19-7
http://www.usenix.org/events/lisa-nt2000/lameyer/lameyer_html/index.html

Hughes, D.:
User-Centric Account Management and Heterogeneous Password Changing
in Proceedings of LISA XIV, Usenix Assoc., 2000, ISBN 1-880446-13-8
http://www.usenix.org/publications/library/proceedings/lisa2000/hughes.html

Ringel, M.;Limoncelli, T.:
Adverse Termination Procedures -or- "How To Fire A System Administrator"
in Proceedings of LISA XIII, Usenix Assoc., 1999, ISBN 1-880446-25-1
http://www.usenix.org/publications/library/proceedings/lisa99/ringel.html

Finke, J.:
Institute White Pages as a System Administration Problem
in Proceedings of LISA X, Usenix Assoc., 1996, ISBN 1-880446-81-2
http://www.usenix.org/publications/library/proceedings/lisa96/finkej.html