Dit artikel is eerder verschenen in 'Windows en Netwerken', editie november 2000
Wim Verveen , e-mail: wim@win2kwereld.nl
Als een Spin in het Web
Accountbeheer is altijd al een vervelend onderwerp geweest. Zeker in Windows NT omgevingen, ontstaan vanuit de filosofie van (en compatibiliteit met) Lanmanager, heeft Windows NT altijd een platte accountdatabase structuur gehad waardoor het beheer van de wat grotere omgevingen al snel lastig werd. Andere bedrijven hadden dit wat eerder ingezien dan Microsoft en zo ontstonden Banyan Vines Streettalk en Novell Directory Services. Met de komst van Windows 2000 heeft Windows 2000 ook eindelijk een fatsoenlijke Directory service en wel de Active Directory. Dit is een stap in de goede richting maar in een grote organisatie staat zo'n Directory niet op zichzelf. Allerlei systemen en applicaties blijken ook hun eigen vorm van directory of andersoortige accountdatabase te hebben, daarbij komt dan ook nog eens de gegevensbestanden van onder meer Personeelszaken die ook nog eens een partijtje meeblazen.
Identiteits Management Al deze vormen van administratie creëren het probleem van Identitieits management. Elke nieuwe lokatie administratie vereist extra onderhoud om deze up to date te houden met
de andere lokaties waar deze administratie plaatsvindt. Wat van oorsprong een systeembeheer probleem lijkt, blijkt een bedrijfsprobleem te zijn. Wat we zouden wensen is de mogelijkheid om op het moment dat Meneer Jansen bij bedrijf
X komt werken alle noodzakelijke gegevens eenmalig ingevoerd worden door de daartoe verantwoordelijke personen en dat deze informatie automatisch gesynchroniseerd wordt met de diverse databases die in het bedrijf aanwezig zijn.
Daarnaast zou het wenselijk zijn dat daarbij ook nog eens alle noodzakelijke activiteiten verricht worden die nodig zijn bij een indiensttreding zoals bijvoorbeeld het aanmaken van een account, een email adres maar ook een
personeelsnummer, badge etcetera. Wanneer meneer Jansen het bedrijf verlaat moet de hele procedure natuurlijk ook omgekeerd worden uitgevoerd.
Deze wens staat of valt met de mogelijkheid om alle gegevensbestanden en directories
met elkaar te synchroniseren. We hebben dus eigenlijk een directory nodig van die alle directories koppelt. Een meta directorie dus.
Enige jaren geleden is een bedrijf genaamd ZOOMIT hiermee begonnen en creëerde de ZOOMIT VIA
metadirectory. Hiermee kon middels het gebruik van scripts en agents gegevensbestanden gekoppeld worden tot een grote directory die een representatie vormt van het bedrijf. Zoomit had hiermee feitelijk een gat in de markt ontdekt.
Een van de grootste problemen bij het implementeren van IT oplossingen en migraties tussen deze is het probleem om gebruikersbestanden te converteren of naast elkaar te gerbuiken.
In 1999 kocht Microsoft ZOOMIT en daarmee
ontstond Microsoft Meta Directory (MMS). Een speciale applicatie voor de oplossing van het identiteits management probleem.
Figuur 1 : Ook in MMS 2.2 zijn de sporen uit het verleden nog zichtbaar
Wat is identiteitsmanagement?
Identiteit is de verzameling informatie over personen, applicaties en resources verspreid door de organisatie. Toegepast op een persoon kun je dan denken aan namen, postbussen, salaris en
functietitel. Toegepast op applicaties kun je denken aan serverlocaties en aangeboden functionaliteit. Toegepast op resources zoals bijvoorbeeld printers betreft het onder meer lokatie en printmogelijkheden.
Figuur 2 : De identiteits management uitdaging in beeld
De manier waarop identiteitsinformatie wordt verzameld plaatst een organisatie voor tal van problemen. Meestal bevindt de data zich
niet in makkelijk toegankelijke (LDAP) directories maar bijvoorbeeld in een fabrikantspecifieke database. Doordat identiteitsinformatie vaak op meerdere plaatsen wordt bijgehouden ontstaan synchronisatiefouten en moet nagegaan
worden welke informatie juist is en wie de eigenaar is van de informatie in kwestie. Vaak is ook niet bekend welke informatie nu precies bekend is en waar. Dit wordt met het toevoegen van meer applicaties steeds gecompliceerder
omdat elke applicatie extra identiteits informatie toevoegt aan het geheel. Microsoft MetaDirectory zou een oplossing kunnen bieden voor het identiteits managent probleem. Het meta directory concept gaat uit van het verzamelen van gegevens in een
gecentraliseerde vorm. Voordelen hiervan is naast de mogelijkheid om alle identiteits gegevens centraal op te vragen en een centraal beveiligingsconcept ook een performanceverhoging doordat alle gegevens nu niet meer her en der
hoeven worden opgezocht maar in één database zijn terug te vinden.
Het ontwerpen van een directory die alle identiteits informatie omvat is al door diverse bedrijven
beproefd maar loopt vaak mis om een aantal redenen. Zo zijn veel applicaties absoluut niet geschikt om met directories om te gaan waardoor het moeilijk wordt om een synchronisatie mogelijk te maken. Vanwege beveiligings eisen is
het bovendien vaak moeilijk om replicatie in te schakelen. Daarnaast heeft de reden waarom zo'n project mislukt vaak niet zozeer een technische als wel een politieke achtergrond. Alle geledingen binnen een bedrijf moeten namelijk
wel overtuigd zijn van het nut van identiteits management.
De Metadirectory bestaat uit twee namespaces: de connector space waar alle geïmporteerde data zich bevindt en de Metaverse die de representatie is van verbonden
objecten uit andere directories. Het is heel goed mogelijk dat objecten in de Metaverse aanwezig zijn in een aantal, maar niet alle verbonden directories. Dit is onderhevig aan de regels die gedefinieerd worden voor de
synchronisatie.
Figuur 3 : Een voorbeeld van de namespaces in meta directory
Middels Management Agents wordt er gezorgd voor de synchronisatie tussen de metaverse en de directories die met elkaar verbonden
zijn. Een belangrijk voordeel van de agents is hierbij dat er geen software hoeft te worden geïnstalleerd. De agent doet zelf het werk vanuit de metadirectory server. Er zijn standaard agents aanwezig voor onder meer LDAP, AD,
Windows NT, Exchange, Banyan Vines, NDS en Lotus Notes. Deze agents weten precies hoe attributen in de verschillende directories overeenkomen met die in de metaverse.
De
koppeling tussen een connector object en een metaverse object wordt een 'join'genoemd. Het proces van het maken van deze joins kan middels een aantal manieren worden bereikt die in meer of mindere mate gecompliceerd kunnen zijn
afhankelijk van de omstandigheden. Eén van de grootste problemen hierbij is dat het vaak onduidelijk is welke objecten bij elkaar horen: Is J. Jansen dezelfde als JansenJ, JJansen en Jansen, J ? Soms vereist dit toch nog handmatige
handelingen om vast te stellen hoe de vork aan de steel zit.
Omdat er diverse directories verbonden zijn met de metaverse is het van belang dat precies bekend is wie de eigenaar is van bepaalde informatie zodat bepaald kan
worden wie, welke directory wijzigingen initieert op welke objecten.
Figuur 4 : Het MMS administratieprogramma
Hire/Fire Scenario's
Een van de belangrijkste functies die
MMS in een organisatie kan vervullen is het implementeren van een zogenaamd hire/fire scenario. Hiertoe wordt de procedure vastgelegd die wordt ondernomen wanneer een nieuwe medewerker in dienst komt en wanneer deze weer vertrekt.
Wanneer bekend is in welke systemen en hoe een gebruiker geautoriseerd moet wordt kan in MMS de TAMA (Together Administration Agent) geprogrammeerd worden om deze activiteiten te automatiseren. TAMA is een soort overkoepelende
agent die de andere agents gebruikt om het proces van hire/fire te begeleiden. Wanneer in het personeelssysteem een nieuwe medewerker wordt opgevoerd kan TAMA ervoor zorgdragen dat in de Active Directory een nieuw account wordt
gecreëerd met rechten die corresponderen met de functie. Een email account wordt gedefinieerd in de mailserver en een Lotus-Notes ID met toegang tot de juiste databases. Wanneer de nieuwe medewerker achteraf niet blijkt te bevallen
en na zijn proeftijd het bedrijf weer verlaat worden alle handelingen in omgekeerde volgorde uitgevoerd om zijn autorisaties weer in te trekken. In de praktijk ICL, met meer dan 21000 werknemers in
40 landen gebruikt Microsoft Meta Directory om meer dan 80 verschillende systemen aan elkaar te koppelen waaronder de personeels database in SQL server, X500 directories en een Oracle database met gegevens van ingehuurde
medewerkers. ICL heeft een webinterface beschikbaar gesteld waar de gebruikers een deel van hun persoonlijke gegevens zelf kunnen bewerken om alle informatie bij de tijd te kunnen houden. Door deze constructie hoeven de informatie
beheerders zich veel minder bezig te houden met dit soort kleine details en is de informatie accurater. Door het toevoegen van zowel een agent voor Windows NT als voor de Windows 2000 Active Directory werd de migratie naar Windows
2000 ook een stuk eenvoudiger. Beschikbaarheid van MMS Op het moment neemt Microsoft Meta Directory een speciale plaats in het assortiment van Microsoft in. Het is niet zonder meer te koop maar kan
kosteloos gebruikt worden als het geïmplementeerd wordt door een van de speciale partners van Microsoft of via Microsoft Consulting Services. Dit is zonder meer verstandig omdat een complex product als dit niet zonder meer in een
organisatie geïntroduceerd kan worden maar onderdeel dient te zijn van een geïntegreerde bedrijfsbrede aanpak. Microsoft Partners die het product aanbieden zijn onder meer Unisys, Lucent Netcare en ePresence Tot slot
Gebruikersbeheer in grote organisaties blijkt verder te gaan dan het domein van de systeembeheerder en is een proces wat bedrijfsbreed moet worden aangepakt om alles in goede banen te laten verlopen. Een product
als Microsoft Meta Directory kan een belangrijke rol vervullen in het realiseren van een gestroomlijnd proces waarin hire/fire scenario's denkbaar zijn om autorisaties zo soepel mogelijk te laten verlopen. Invoering van MMS moet
echter niet te licht worden ingeschat, de gevolgen voor de administratieve processen kunnen ingrijpend zijn en het onderzoek naar wie, waar voor verantwoordelijk is kan lang duren. W. Verveen is verbonden aan Highway Back-office
Consulting een werkmaatschappij van de Ormer groep die gespecialiseerde ondersteuning biedt voor Windows 2000 en Back-office applicaties, daarnaast beheert hij Win2K Wereld
E-mail:
w.verveen@ormer.nl
Web: http://www.boc.highway.nl en http://www.win2kwereld.nl
