Der Baukonzern Alpine hat ein zentrales User- und Identity-Management sowie ein Single Sign On auf Basis des offenen Standards Lightweight Directory Access Protocol (LDAP) implementiert. Der Aufwand für die Benutzerverwaltung konnte dadurch gesenkt werden.
Alpine ist ein weltweit tätige Baukonzern. Er erwirtschaftet einen Umsatz von knapp zwei Milliarden Euro pro Jahr und beschäftigt rund 9000 Mitarbeitern. Mit einem zentralen User- und Identity-Management sowie einem Single Sign On auf Basis des offenen Standards Lightweight Directory Access Protocol (LDAP) hat das Unternehmen bares Geld gespart.
"Nur damit die IT technisch auf dem neuesten Stand ist, macht keine Unternehmensleitung Geld locker", sagt Hans Lechner, IT-Leiter beim Baukonzern Alpine Mayreder. Dennoch haben die Österreicher das Projekt gestemmt, das die IT-Betriebskosten senkt und bei genauerer Betrachtung gleichzeitig deutliche Verbesserungen für die User bringt. Alpine hat eine historisch gewachsene Systemlandschaft mit einem hohen Verwaltungsaufwand: "Wir setzen die unterschiedlichsten Betriebssysteme ein, etwa diverse Microsoft-Windows-Versionen (NT Server, Server 2003), und darüber hinaus gehören Server unter Linux zum IT-Inventar", erklärt Lechner.
Eine Vielzahl von Web-Anwendungen sowie Office-, Mail- und Back-End-Applikationen sind ebenfalls im Einsatz. Eine besondere Herausforderung für Alpine bestand nun darin, das Identiy-Management mit der Benutzer- und Rechteverwaltung in der komplexen IT-Landschaft zu bewerkstelligen. So wurden rund 100 NT-Domänen unter Samba für jeden Standort separat gemanagt. Zugleich existiert für das linuxbasierende E-Mail-System und den Webproxy-Dienst seit einigen Jahren ein zentrales LDAP Directory, das die konzernweite Benutzerverwaltung regelte.
Eine besondere Herausforderung für Alpine bestand vor allem darin, das Identiy-Management mit der Benutzer- und Rechteverwaltung in der komplexen IT-Landschaft zu bewerkstelligen. Die Vielfalt der IT-Systeme spiegelte sich in einem heterogenen Management-Konzept wider, wie Lechner erklärt. So wurden rund 100 NT-Domänen unter Samba für jeden Standort separat verwaltet. Samba ist ein Open-Source-Projekt, das Linux- beziehungsweise UNIX-Servern ermöglicht, Verzeichnis- und Drucker-Freigaben für Windows-Clients zur Verfügung zu stellen. Zugleich existierte für das linuxbasierende E-Mail-System und den Webproxy-Dienst seit einigen Jahren ein zentrales LDAP Directory, das die konzernweite Benutzerverwaltung regelte.
Damit die rund 2500 User von Alpine ortsunabhängig Zugang und Zugriff auf ihre Daten hatten, mussten sie zum Teil mehrfach angelegt werden - sowohl in der Zentrale als auch in den Außenstellen, in denen sie tätig waren. Entsprechend ihrer Berechtigungen galt es, ihnen Ressourcen wie Drucker lokal zuzuordnen. Auch mussten sie sich für jede Applikation, zu der sie einen berechtigten Zugriff hatten, einzeln anmelden.
Fast noch problematischer als das Anlegen der Nutzer und deren verfügbarer Ressourcen im jeweiligen lokalen Netz war das korrekte Löschen, etwa wenn ein Mitarbeiter ausscheidet oder sich seine Berechtigungen änderten. Lechner dazu: "Es war sehr aufwändig nachzuprüfen, in welchen lokalen Directorys ein User angelegt war, um ihn vollständig löschen zu können." Das barg potenzielle Sicherheitsrisiken, da die Gefahr bestand, Einträge in den unterschiedlichen Systemen schlicht zu vergessen.
Alpine hat sich daher Mitte 2005 entschlossen, eine Lösung zu suchen, die die rund 2500 Windows-2000- und Windows-XP-Arbeitsplätze in den Außenstellen in das zentral betriebene LDAP Directory, basierend auf Linux Open LDAP, integriert. Fündig wurden die Salzburger bei der Wiener Comtarsia GmbH und deren "Sign On"-Produktfamilie. Die Comtarsia "Sign On Solutions" bestehen aus zwei Systemmodulen, dem "Comtarsia Logon Client" und dem "Comtarsia Sign On Gate".
Der Logon-Client ermöglicht am Arbeitsplatz eine direkte Anmeldung an ein LDAP Directory. Durch eine LDAP-Schema-Erweiterung können Informationen wie Benutzerverzeichnispfad, Benutzerprofilpfad, Drucker und Laufwerkszuordungen, Single-Sign-On-Daten (SSO), im LDAP-Benutzer- oder -Gruppen-Objekt abgelegt werden, das der Logon-Client bei jeder Anmeldung auswertet. Die automatische Benutzerverwaltung auf den Ressourcensystemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix) übernimmt das Zusatzprodukt Comtarsia Sign On Gate.
Alternativ hätte Alpine die vorhandenen Verzeichnisse vollständig durch ein zentrales Active Directory ersetzen können, um damit alle dezentralen Server zu managen. Das zentrale LDAP-Verzeichnis war bereits detailliert aufgebaut und enthielt sehr viele Hierarchieebenen, in denen die Benutzerprofile und Ressourcen festgelegt waren. "Die getätigten Investitionen wollten wir sichern", sagt Lechner. "Zudem haben wir zahlreiche Open-Source-Systeme im Einsatz, und dafür ist LDAP die Lösung." LDAP ist ein offener Standard und herstellerunabhängig.
"Der große Vorteil von Comtarsia ist, dass sich zwei Welten, in unserem Fall Linux und Windows, miteinander verknüpfen und zentral managen lassen. Die heutigen Systeme bleiben eigenständig. Open LDAP in der zentralen Benutzerverwaltung, Active Directory für einige Server-Anwendungen und Linux/Samba als Fileserver kann mit den Lösungen ohne zusätzlichen Aufwand vereint werden", so Lechner. Im dritten Quartal 2005 begann der Roll-out des Produkts. Inzwischen sind alle 2500 Arbeitsplätze installiert.
Mit Implementierung des einheitlichen Directory-Managements von Comtarsia hat Alpine quasi nebenbei ein Single Sign On (SSO) realisiert. Nachdem die neue Lösung im Einsatz ist und der Verwaltungsaufwand deutlich gesenkt werden konnte sowie die Management-Qualität verbessert wurde, widmet sich Alpine nun dem Thema Sicherheit: In Zukunft soll die Anmeldung nur noch mittels Smart Card oder Token möglich sein. Eine PKI-Teststellung auf Basis von Comtarsia konnte im Alpine-Netzwerk bereits erfolgreich realisiert werden.