gms | German Medical Science

GMDS 2012: 57. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

16. - 20.09.2012, Braunschweig

Nutzerverwaltung für forschungsbezogene IT-Infrastrukturen

Meeting Abstract

  • Benjamin Löhnhardt - Universitätsmedizin Göttingen, Medizinische Informatik, Göttingen, Deutschland
  • Ansgar Jahn - Universitätsmedizin Göttingen, Medizinische Informatik, Göttingen, Deutschland
  • Romanus Grütz - Universitätsmedizin Göttingen, Medizinische Informatik, Göttingen, Deutschland
  • Frank Dickmann - Universitätsmedizin Göttingen, Medizinische Informatik, Göttingen, Deutschland

GMDS 2012. 57. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Braunschweig, 16.-20.09.2012. Düsseldorf: German Medical Science GMS Publishing House; 2012. Doc12gmds117

DOI: 10.3205/12gmds117, URN: urn:nbn:de:0183-12gmds1175

Published: September 13, 2012

© 2012 Löhnhardt et al.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.en). You are free: to Share – to copy, distribute and transmit the work, provided the original author and source are credited.


Outline

Text

Einleitung: Universitätsklinika wie die Universitätsmedizin Göttingen (UMG) verfügen häufig über heterogene IT-Infrastrukturen mit zum Teil mehreren unabhängigen Nutzerverwaltungen. Das Ziel ist, den Verwaltungsaufwand und die Fehleranfälligkeit der Nutzerverwaltung zu minimieren, sowie den Zugang zu Diensten für den Nutzer zu vereinfachen. Dabei muss sowohl die sichere Speicherung und Übertragung der Benutzerinformationen als auch eine transparente und einfache Authentifizierung/Autorisierung sichergestellt werden.

In der UMG gibt es neben zentral verwalteten Active-Directory-Strukturen (AD) [1] weitere Forschungssysteme (z.B. spezielle Rechencluster) mit zumeist eigenen lokalen Nutzerverwaltungen. Administratoren stellen das Anlegen, Löschen und Synchronisieren von Accounts in den jeweiligen Systemen sicher. Werden die Forschungssystem-Accounts von Fachabteilungen selbst verwaltet, führt dies zu Redundanzen, höherer Fehleranfälligkeit und zusätzlichem Aufwand. Weiterhin ist es für Nutzer kompliziert, mehrere Accounts beantragen und verwenden zu müssen.

Ideal wäre daher ein Single-Sign-On-System, mit dem der Nutzer während einer etablierten Sitzung auf alle ihm zur Verfügung stehenden Dienste ohne erneute Authentifizierung zugreifen kann. Eine solche Lösung muss die in der Forschung häufig vorkommenden Linux-Systeme ebenfalls umfassen.

Methoden: Die AD-Verzeichnisdienste der UMG sind am Universitätsstandort durch eine Verzeichnisdienst-übergreifende Synchronisation mittels Meta-Directory [2], [3] (Umsetzung: Novell Identity-Manager [4]) angebunden. Einzelne Systeme können sich mithilfe von LDAP [5] gegenüber einem Verzeichnisdienst authentifizieren. Kerberos [6] dient als sicherer Authentifizierungsdienst. Winbind als Teil der Samba-Suite [7] wird für die Steuerung der clientseitigen Authentifizierungs-/Autorisierungsanfragen verwendet. Winbind bietet ein PAM-Modul [8], welches die Delegation der Authentifizierungsanfragen untergeordneter Dienste auf Linux-Systemen übernimmt. Dadurch können unterschiedliche Protokollstandards (Kerberos, LDAP,...) nebeneinander verwendet werden. Am Standort Göttingen sind weiterhin föderierte Projekte wie DFN-AAI [9], NDS-AAI [10] sowie MPG-AAI [11] umgesetzt.

Ergebnisse: Ein Scientific-Linux-basiertes Forschungssystem wurde prototypisch in die bestehende IT-Infrastruktur auf Basis von LDAP, Kerberos und Winbind mit PAM integriert. Die Speicherung sensibler Benutzerinformationen auf dem Forschungssystem wird hierdurch vermieden. Da Berechtigungen auf dem Forschungssystem unabhängig vom Verzeichnisdienst gesteuert werden sollen, wurde eine lokale Rechteverwaltung statt einer zentralen AD-Gruppenberechtigung realisiert. Der lokale Administrator hat somit die Möglichkeit gezielt Nutzer für die Verwendung des Dienstes zu berechtigen.

Besondere Aufmerksamkeit bei der Umsetzung forderte die Auflösung der von Windows verwendeten Identifikationsnummern (ID) der Nutzer und Gruppen aus dem AD. Dabei musste einerseits ein Konflikt mit den von Linux verwendeten IDs (Doppeltbelegung) vermieden, andererseits eine effektive und zuverlässige ID-Mapping-Strategie realisiert werden. Unter den mit Winbind konfigurierbaren ID-Mapping-Alternativen wurde der Relative-Identifier(RID)-Ansatz ausgewählt, die eine deterministische Zuordnung von IDs innerhalb eines festgelegten Bereichs erlaubt.

Diskussion: Es konnte an einem Linux-basierten Forschungssystem prototypisch gezeigt werden, wie bisher eigenständig verwaltete Systeme in die übergreifende Nutzerverwaltung des Standortes eingebunden werden können. Eine Integration weiterer Forschungssysteme ist geplant. Hierdurch kann sowohl der Verwaltungsaufwand für die Administration (z.B. Anlegen/Löschen von Benutzeraccounts) als auch der Arbeitsaufwand für die Nutzer durch einheitliche Accounts (Single-Sign-On) reduziert werden.

Die deterministische ID-Mapping-Strategie realisiert eine konsistente ID-Zuordnung und ermöglicht die Einbeziehung mehrerer AD-Domänen. Komplexe Windows-Gruppenzugehörigkeiten können jedoch auf Linux-basierten Forschungssystemen nicht vollständig umgesetzt werden. Dazu ist weitere Forschung notwendig.

Weiterhin ist allgemein eine Dezentralisierungstendenz des Nutzermanagements zu beobachten. Beispiele hierfür sind föderierte Strategien wie Shibboleth [12] basierend auf SAML-Attributen [13] zur Übertragung von Authentifizierungs-/Autorisierungsinformationen oder Benutzer-zentrierte Strategien wie OpenID [14], die eingesetzt werden, um extern verwaltete Accounts in die eigene Nutzerverwaltung einzubinden.

Danksagung: Unterstützt durch das DFG-Projekt LABIMI/F(FKZ:RI1000/2-1) und das BMBF-Projekt WissGrid(FKZ:01IG09005A-L).


Literatur

1.
Microsoft Active Directory. Available from: http://www.microsoft.com/en-us/server-cloud/windows-server/active-directory.aspx External link
2.
Tsolkas A, Schmidt K. Rollen und Berechtigungskonzepte – Meta Directory. Vieweg+Teubner Verlag; 2010. pp. 229-57.
3.
Rieger S. Einheitliche Authentifizierung in heterogenen IT-Strukturen für ein sicheres e-Science-Umfeld. Cuvillier; 2007.
4.
Novell Identity Manager. Available from: http://www.novell.com/products/identitymanager/ External link
5.
Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map. Available from: http://tools.ietf.org/html/rfc4510 External link
6.
Kerberos: The Network Authentication Protocol. Available from: http://web.mit.edu/kerberos/www/ External link
7.
Samba. Available from: http://www.samba.org/ External link
8.
Unified Login with Pluggable Authentication Modules (PAM). Available from: http://www.opengroup.org/rfc/rfc86.0.html External link
9.
DFN-AAI – Authentifikations- und Autorisierungs-Infrastruktur. Available from: https://www.aai.dfn.de/ External link
10.
Niedersachsen-AAI. Available from: http://www.elan-niedersachsen.de/nds-aai/ External link
11.
MPG-AAI – eine MPG-weite Authentifizierungs- und Autorisierungs-Infrastruktur. Available from: http://www.mpg.de/1151684/Authentifizierung_Web External link
12.
Shibboleth. Available from: http://shibboleth.net/ External link
13.
Online community for the Security Assertion Markup Language (SAML) OASIS Standard. Available from: http://saml.xml.org/ External link
14.
OpenID. Available from: http://openid.net/ External link