Die Hochschule Harz (FH) managt ihre 3500 IT-Benutzer auf Basis des offenen Standards Lightweight Directory Access Protocol (LDAP). Die Produkte des Herstellers Comtarsia er-möglichen die plattformübergreifende Anmel-dung (Single Sign On), senken den IT-Verwaltungsaufwand und erhöhen den Komfort für die Benutzer.


Bild: Hochschule Harz

„Bei der Auswahl für unsere IT-Lösungen gelten zwei Kriterien: innovativ und hersteller-unabhängig“, sagt Klaus-Peter Rohr, Systemadministrator. Innovativ sollen die Applikationen und Infrastrukturprodukte sein, weil man den Studenten Lösungen zur Verfügung stellen möchte, anhand derer sie den aktuellsten Stand der Technik kennen lernen sollen. Unabhängig von einem Anbieter sollte die Hochschul-IT deshalb sein, damit Studenten mit vielen verschiedenen Produkten arbeiten können und die ganze Bandbreite der Technologie erfahren. „Wir wollen keine Spezialisten für das Produkt eines Anbieters ausbilden“, sagt er weiter.


Die Systemlandschaft der Hochschule war und ist dementsprechend heterogen: rund 30 Server unter Linux, einige Irix-Server, sowie rund 350 Clients mit Windows-Betriebssystemen an den zwei Standorten Wernigerode und Halberstadt für die unabhängigen operierende Fachbereiche Automatisierung und Informatik, Verwal-tungswissenschaften und Wirtschaftswissen-schaften kennzeichnen die IT-Landschaft. Auf den PCs – den Arbeitsstationen für die rund 3500 Studenten und 70 Verwaltungs-arbeitsplätzen - sind die unterschiedlichsten Produkte im Einsatz: von Office-Paketen (Word, Excel, Access) über Entwicklungstools wie C-Compiler, Delphi bis hin zu CAD-Applikationen und Laborsystemen.


Bislang mussten User mehrfach angelegt sein, wenn sie Client-Ressourcen, wie die am PC angeschlossenen Drucker nutzen wollten. Auch der Zugang zu Services aus dem Netz wie Plotter, Drucker und File-Services, Mail, Internet-Zugang oder Zugriffe auf zentrale Datenbanken erforderte erneute Anmel-dungen am System. Es existierte in der Vergangenheit schon ein Nutzerverwaltungs-konzept für die Windows-NT-Systeme (NT-Domänen), sowie ein weiteres für das bestehende LDAP-Directory auf dem „I-Planet“-Server von Sun (ehemals ein Netscape-Produkt). Zudem kommt auch für bestimmte Anwendungen der Microsoft-Terminal-Server zum Einsatz.


Das Identity-Management war für Rohr und seine Kollegen sehr aufwändig und als ein Upgrade von Windows NT auf Windows 2000/2003 anstand, hatte man das Ziel, eine einheitliche, übergreifende Benutzerver-waltung zu implementieren. „Wir wollten auf keinen Fall unsere gesamte IT-Landschaft auf Microsofts Active Directory (ADS) umstellen. Das widerspricht unseren Vorstellungen einer herstellerunabhängigen IT. Außerdem hätten sich die Nicht-Microsoft-Produkte nur sehr umständlich darin einbinden lassen.“ Nach einer Marktrecherche sind Systemmanager Rohr und seine Kollegen bei dem Wiener Softwarehaus Comtarsia fündig geworden: „Comtarsia bietet als einziges Produkt am Markt, eine Anmeldung und Benutzerauthen-tifzierung an Windows-Rechnern aus LDAP heraus“, das ergab Rohrs Marktrecherche.

Dadurch entsteht eine Meta-Ebene, aus der heraus sich die heterogenen Systeme zentral – ohne Änderungen an der bestehenden Struktur – verwalten lassen.

Die Comtarsia „SignOn Solutions“ bestehen aus zwei Systemmodulen, dem „Comtarsia Logon Client“ und dem „Comtarsia SignOn Gate“. Der Logon Client ermöglicht am Arbeitsplatz eine direkte Anmeldung an ein LDAP-Directory. Durch eine LDAP-Schema-Erweiterung können Informationen wie Benutzerverzeichnispfad, Benutzerprofilpfad, Drucker und Laufwerkszuordnungen, Single-Sign-On-(SSO-)Daten, im LDAP-Benutzer- oder –Gruppen-Objekt abgelegt werden, welche der Logon Client bei jeder Anmeldung auswertet. Die automatische Benutzerver-waltung auf den Ressourcensystemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix) übernimmt das Zusatzprodukt Comtarsia SignOn Gate.

„Anstelle des üblichen Windows-Logins am PC meldet sich der User nun über den Comtarsia Logon Client, welcher auf allen Schulungs-PCs installiert ist, am LDAP-Verzeichnis an“, erklärt Systemmanager Rohr. Darüber hinaus übernimmt in einigen Fachbreichen das Produkt Comtarsia SignOn Gate die auto-matische Benutzerverwaltung auf Windows- und Linux-Servern. Mittels „Single SignOn Agent“, werden die Benutzerdaten auto-matisch abgeglichen.


Speziell für den Betrieb in universitären Einrichtungen bietet Comtarsia so genannte “Roaming“-Lizenzen. Der Grund dafür: Während bei Industrieunternehmen, Banken oder Versicherungen in der Regel die Zahl der Arbeitsplätze der Anzahl der Benutzerkonten entspricht, fallen im Ausbildungsbereich immer viel mehr Benutzerkonten auf einen Arbeitsplatz. Zudem arbeiten die Studenten immer an unterschiedlichen Workstations. Durch das Roaming reichen 300 Lizenzen, um damit die Benutzerkonten für 3500 User zu verwalten. „Mit Comtarsia SignOn Gate haben wir auch eine automatische Rechnerfreigabe realisiert: nach einer bestimmten inaktiven Zeit werden Benutzer von den Ressource-Servern samt Homedirectory und –Daten gelöscht, damit der Rechner für den nächsten Benutzer „sauber“ ist“, erklärt Rohr.

Nach einigen Monaten produktivem Betrieb zeigt sich IT-Verwalter Rohr sehr zufrieden: „Die Installation war sehr einfach, das Produkt läuft extrem stabil und der Adminis-trationsaufwand ist verschwindend gering.“ Der Service von Comtarsia sei hervorragend gewesen, was sich insbesondere in der Implementierungsphase gezeigt habe. Zudem profitiere die Hochschule von der Weiter-entwicklung des Produktes: alle Ergänzungen und neuen Anforderungen werden in den Standard übernommen und kommen somit allen Kunden zu Gute.

Mit dem jetzigen Zustand geben sich die innovativen IT-Administratoren der Hoch-schule noch nicht zufrieden: Geplant ist eine Umstellung auf eine zentrale Server-basierte Umgebung, bei der Applikationen nur noch auf den Servern residieren und von den dezentralen Clients via Terminal-Server aufgerufen werden. Auch der Umstieg von I-Planet auf das OpenLDAP ist terminiert. Ferner steht das Thema Zugangssicherheit hoch im Kurs: So wird über eine Anmeldung mittels Token- und Smart-Card nachgedacht, wobei die neueste Version des Comtarsia Logon Client, der bereits eine PKI-Anmeldung ermöglicht, zum Einsatz kommen soll.