Nicht jeder FAU-Angehörige darf auf die gleichen Daten und Dienste zugreifen, das ist klar. Aber wie kommt die hierfür notwendige Rechteverwaltung an einer so großen Universität überhaupt zustande? Eine zentrale Rolle spielen Gruppen, denen die einzelnen Nutzer zugeordnet sind. Diese können von den FAU-Einrichtungen bald über eine Weboberfläche ganz einfach selbst gepflegt werden. (BI95, FL)
Schon seit geraumer Zeit sind die Infrastrukturen zur Benutzerverwaltung in Linux (OpenLDAP) und Windows (Active Directory) an das Identity-Management-System (IdMS) der FAU angebunden. Ihre Account-Informationen werden also ausschließlich aus dem zentralen IdMS bezogen. Die eindeutige Authentifizierung eines Nutzers durch den Login in seinen persönlichen Benutzeraccount ist allerdings nur die halbe Miete, wenn es um Rechteverwaltung geht.
Ein zweites, deutlich flexibleres Standbein ist eine Zuordnung zu einer oder mehreren Gruppen. Erst auf diese Gruppen werden letztendlich Rechte vergeben und somit der Nutzer zu bestimmten Handlungen autorisiert. Dies erhöht die Übersichtlichkeit und damit die Wartbarkeit gegenüber der direkten Rechtevergabe auf Basis von Benutzeraccounts in aller Regel beträchtlich — sofern sie richtig eingesetzt werden.
Das IdMS bietet gegenüber der manuellen Pflege diverser Gruppenmitgliedschaften den Vorteil, diese regelbasiert und somit automatisch pflegbar zu machen. So können zum Beispiel alle Studierenden eines Studiengangs oder alle Mitarbeiter eines Lehrstuhls automatisiert zu entsprechenden Gruppen hinzugefügt werden. Gleiches gilt bei der Entfernung aus Gruppen, sobald Kriterien wie die entsprechende Zugehörigkeit nicht mehr zutreffen.
Nicht zuletzt bietet eine zentralisierte Befüllung und Verwaltung von Gruppen und Gruppenmitgliedschaften durch das IdMS den Vorteil der Synchronisierung in alle Zielsysteme. Oft auftretende Überschneidungen in der Nutzung von Linux und Windows (zum Beispiel das Einbinden eines Windows-Shares unter Linux) bieten so noch weniger Potential für Probleme, da beide Welten auf eine identische Datenbasis aus Nutzern und Gruppen zurückgreifen können.
Das Beste herausholen: best-practices
Eine Gruppe ist grundsätzlich nur eine zusammengefasste Menge von Benutzern. Nicht zwangsläufig sagt eine Gruppenzugehörigkeit etwas über die Berechtigungen oder Aufgaben eines Gruppenmitglieds aus. Um die Vorteile von Gruppen effizient nutzen zu können, sollte man sich deshalb im Vorfeld einige Gedanken über den Aufbau des Rechtemodells machen.
In der Praxis hat sich oft ein rollenbasierter Ansatz bewährt. Eine Rolle bündelt Aufgaben bzw. Kompetenzen. Sie beschreibt für welche Aufgabe oder auch in welcher Position in der Organisation man mit welchen Rechten auf welche Ressourcen zugreifen darf. Die Hauptschwierigkeit und somit auch der größte Aufwand besteht hier in der geeigneten Definition der passenden Rollen, um die Arbeitsabläufe einer Organisation korrekt abzubilden.
Idealerweise werden sowohl Rollen- als auch Gruppenzugehörigkeiten mit Bedacht vergeben, um nicht Gefahr zu laufen, die gleiche Menge Rollen wie beispielsweise Benutzer zu generieren. Wird die Menge an Rollen oder Gruppen zu hoch, würde keine nennenswerte administrative Verbesserung gegenüber der direkten Zuweisung von Benutzeraccounts zu Berechtigungen erzielt werden – die Verwaltung würde also wieder unübersichtlich und unnötig kompliziert werden.
Gruppen selbst pflegen: care for yourself
Wie bereits beschrieben, werden Gruppenmitgliedschaften auf Basis von IdMS-Regeln erstellt und gespeichert. Jedoch muss für eine Organisation in der Größe der FAU mit vielen Bereichen, Lehrstühlen und Arbeitsgruppen eine gewaltige Anzahl an Berechtigungen verwaltet werden. Um dies zu bewältigen, war bereits seit Beginn des Projekts geplant, eine webbasierte Oberfläche zur Verwaltung anzubieten. So können auch Nicht-Programmierer selbstständig und bequem Gruppen und die zugehörigen Regeln erstellen und pflegen.
Neben der besseren Arbeitsaufteilung bietet die Ablage von Gruppen und Regeldefinitionen in den einheitlichen Datenstrukturen einer Datenbank die Möglichkeit, schnell Auswertungen zu erstellen, zum Beispiel zur Fehleranalyse oder zu Statistikzwecken.
Die technische Basis zur eventbasierten Verarbeitung der Regeln im IdMS wurde hierbei – wie auch das IdMS selbst – am RRZE entwickelt und steht als Grails-Plugin zur Verfügung.
Ausblick: the best is yet to come
In der aktuellen Ausbaustufe der Gruppenverwaltung haben bisher nur ausgewählte Administratoren des RRZE Zugriff und können auf Anweisung Änderungen an Gruppen vornehmen. Geplant ist jedoch eine Öffnung der Oberfläche für dezentrale Administratoren. Das würde beispielsweise den IT-Betreuern erlauben, Gruppen und Regeln für ihre Aufgabenbereiche einzusehen und in gewissem Umfang auch selbst anzulegen bzw. anzupassen.
Durch den Ausbau der Optionen für dezentrale Administratoren wird in vielen Fällen eine schnelle und einfache Pflege der Gruppenmitgliedschaften ermöglicht. Die Anzeige der Bildungsregeln und die Übersicht über Gruppenmitgliedschaften schafft zusätzliche Transparenz.
Dipl.-Inf. Florian Klemenz
Regionales Rechenzentrum Erlangen (RRZE)
Abteilung Zentrale Systeme (RRZE)
- Telefon: +49 9131 85-28146
- E-Mail: florian.klemenz@fau.de