Open Source bei Verzeichnisdiensten
Artikel erschienen in Swiss IT Magazine 2005/03
Die Open-Source-Landschaft schien in bezug auf Verzeichnisdienste, einem zentralen Element der Unternehmens-IT, bis vor kurzem ziemlich eindeutig zu sein. OpenLDAP (www.openldap.org) ist der Platzhirsch und kann durchaus auch auf eine beachtliche Zahl an Implementierungen verweisen. Mit der Ankündigung von RedHat, die früheren Netscape-Servertechnologien von AOL zu übernehmen, gibt es zukünftig aber eine zweite Alternative. Red Hat will diese in Open Source überführen, wobei noch nicht feststeht, welcher Lizenz der Code unterliegen wird.
Dem stehen viele Verzeichnisdienste von etablierten Anbietern gegenüber, bei denen Open Source allenfalls am Rande und nicht im Sinne des eigentlichen Open-Source-Konzepts eine Rolle spielt – Microsoft stellt den Source Code des Windows Server 2003 beispielsweise unter ganz genau geregelten Bedingungen wenigen eng definierten Zielgruppen zur Verfügung. Die führenden Anbieter im Bereich der Verzeichnisdienste sind Microsoft mit dem Active Directory, Novell mit dem eDirectory, Sun und IBM mit ihren jeweiligen Directory-Servern, Siemens mit DirX und Oracle mit dem OID (Oracle Internet Directory) sowie CA mit dem eTrust Directory. Andere Anbieter wie CriticalPath führen nur noch ein Nischendasein.
Anforderungen von Verzeichnisdiensten
Um die mögliche und sinnvolle Rolle von OpenLDAP und RedHat in dieser Anbieterlandschaft zu benennen, muss man die Einsatzbereiche und Anforderungen von Verzeichnisdiensten betrachten, die auch Benchmark für die Open-Source-Produkte sein müssen.
Die Diskussion führt dabei manchmal in obskure Richtungen. So hat ein Anbieter von virtuellen Verzeichnisdiensten unlängst geäussert, sich in Auswahlentscheidungen immer wieder mit OpenLDAP konfrontiert zu sehen. Dabei steht dann der Ansatz einer flexiblen Integration von Informationen aus verschiedenen bestehenden Verzeichnissen dem einer Konsolidierung der Daten über OpenLDAP respektive der Nutzung der LDAP-Referrals gegenüber. Dabei werden allerdings einige wichtige Aspekte übersehen – die Konsolidierung unterschiedlicher Schemata, der Zugriff auf Nicht-LDAP-Datenquellen, die Strukturanpassung von Verzeichnisdaten für die Zielanwendung oder komplexere Passthrough-Authentifizierung, um nur einige zu nennen.
Das illustriert, dass man sich bei der Entscheidung über Verzeichnisdienste nicht auf eine oberflächliche Betrachtung beschränken kann. Bei Verzeichnisdiensten lassen sich vier Einsatzbereiche unterscheiden. Den grössten Bekanntheitsgrad haben die Netzwerk-Verzeichnisdienste, also das Active Directory respektive das eDirectory. Das zweite Einsatzfeld sind Unternehmensverzeichnisse, in denen Unternehmensdaten konsolidiert werden. Diese dienen unter anderem als Basis für Mitarbeiterverzeichnisse und sind oftmals auch mit Telefonanlagen integriert, bilden typischerweise aber auch das zentrale, vom Unternehmensportal genutzte Verzeichnis. Die dritte Gruppe sind E-Business-Verzeichnisse, also solche, in denen Identitätsinformationen von Kunden oder Partnern liegen und die für entsprechende Anwendungen eingesetzt werden. Die von der Anzahl der Instanzen mit Abstand grösste Gruppe sind aber Anwendungsverzeichnisse. Das beginnt bei den im SAP-Umfeld genutzten Verzeichnissen für das Portal ebenso wie für die ZUV (Zentrale User-Verwaltung) und andere Module und geht über die Benutzerverwaltung von Datenbanken bis hin zum Management von Benutzerinformationen in selbstentwickelten Anwendungen.
Jeder dieser Einsatzbereiche stellt spezifische Anforderungen. Bei Netzwerk-Verzeichnisdiensten spielen die Integration mit der Client-Konfiguration sowie die Replikation über viele Verzeichnisserver in geografisch verteilten Netzwerken eine wichtige Rolle – hier sind Microsoft und Novell in den meisten Fällen konkurrenzlos. In diesem Bereich bieten auch die Open-Source-Systeme keine echte Alternative, zumindest soweit in der Masse mit Windows-Clients gearbeitet wird.
Die wesentliche Anforderung bei Unternehmensverzeichnissen ist die Skalierbarkeit. Dagegen rückt beispielsweise die Replikation in den Hintergrund. Häufig werden solche Verzeichnisse aber von Anbietern wie Siemens oder Sun geliefert, die auch über eine hohe Integrationskompetenz verfügen, weil das die wesentliche Hürde in solchen Projekten ist. Red Hat hat aber gerade wegen der Skalierbarkeit die Entscheidung für den Netscape Directory Server getroffen, der ja auch das technische Fundament der Lösung von Sun bildet, und sich hier bewusst gegen OpenLDAP als strategische Richtung entschieden.
Die Herausforderungen bei eDirectory-Verzeichnissen können sehr unterschiedlicher Natur sein. Neben der Anbindung an interne Datenquellen spielen Sicherheit und oftmals auch Skalierbarkeit eine wichtige Rolle. Dort, wo es um extrem hohe Skalierbarkeit geht, wie beispielsweise im Telekommunikationssektor, haben Spezialisten wie Sun und Siemens die Nase vorn, wobei auch Oracle auf einige interessante Referenzen verweisen kann.
Schliesslich gibt es noch die Anwendungsverzeichnisse. Soweit diese nicht zwingend vorgegeben sind, ist das ein weites Feld. Hier können Open-Source-Lösungen prinzipiell sinnvoll sein, weil sie sich gut mit den Anwendungen integrieren lassen und es, von wenigen Ausnahmen abgesehen, keine speziellen technischen Hürden gibt, die zum Problem werden könnten.
Anforderungen an unterschiedliche Einsatzbereiche von Verzeichnisdiensten
Hier stellt sich aber eine ganz andere Frage, nämlich die nach der generellen Strategie für Verzeichnisdienste. In den letzten Jahren haben sich dabei zwei Dinge gezeigt. Zum einen funktionieren One-Directory-Strategien nicht, zum anderen muss man aber auch die Heterogenität der IT-Infrastruktur beschränken. Die Konsolidierung von Informationen vieler verschiedener Anwendungen in einem Verzeichnis führt schnell zu extrem komplexen Datenstrukturen, die weder administrativ noch technisch effizient verwaltet werden können. Die Idee, OpenLDAP wie oben beschrieben für die Konsolidierung einzusetzen, wenn eigentlich ein virtueller Verzeichnisdienst benötigt wird, scheitert schon daran.
Das hat aber auch Microsoft einsehen müssen, deren um das Active Directory zentrierte Strategie spätestens mit der Einführung von ADAM (Active Directory Application Mode) als Lightweight-Variante des Active Directory für Anwendungsverzeichnisse und dem ziemlich zeitgleichen Release des MIIS 2003 (Microsoft Identity Integration Server) für die Integration von Informationen auch aus verschiedenen Active Directory-Forests und ADAM-Instanzen beerdigt ist. Auf der anderen Seite führt jedes weitere Verzeichnis zu einem wachsenden Integrationsaufwand. Hier gilt es, einen Mittelweg zu finden.
Gerade dieser Faktor spielt bei der Diskussion über die Rolle von Open-Source-Lösungen für Verzeichnisdienste eine wichtige Rolle. Auch wenn für das eine oder andere Projekt beispielsweise OpenLDAP die naheliegende Lösung ist und technisch völlig ausreicht, heisst das noch nicht, dass es auch die beste Lösung ist. Diese Entscheidung kann nur bei einer Gesamtbetrachtung aller Verzeichnisdienste fallen. Wenn nur eine weitere Insel entsteht, hat man nichts erreicht. Das hat zunächst wenig mit technischen Kriterien zu tun, sondern mit der Frage, wie viele verschiedene Plattformen für Verzeichnisdienste ein Unternehmen auf jeden Fall benötigt und höchstens bewältigen kann. Hier kann eine isoliert betrachtet bessere Lösung durchaus bei einer globalen Betrachtung zur falschen Entscheidung werden.
Damit ist noch nichts über die technischen Aspekte gesagt. Hier sind insbesondere die Replikation, die Skalierbarkeit, die Sicherheitsfunktionen und die Integration mit anderen Systemen von Bedeutung. Die Replikation zwischen verschiedenen Systemen ist dabei eine technische Herausforderung, die vor allem bei Umgebungen mit vielen Änderungen kritisch ist. OpenLDAP unterstützt verschiedene Ansätze wie die Master-Slave-Replikation und die vom Zielsystem aus gesteuerte LDAP-Sync-Replikation. Verglichen mit dem Reifegrad der Replikationsmechanismen von Active Directory und eDirectory stossen diese Ansätze aber schnell an ihre Grenzen beispielsweise bei einer zentralen, automatischen Replikationssteuerung und Topologiegenerierung, wobei sie für typische Einsatzbereiche in Anwendungsverzeichnissen durchaus ausreichen können. Ähnlich stellt sich die Situation bei der Skalierbarkeit dar. Viele Anforderungen lassen sich mit OpenLDAP erfüllen. «Improved scalability» steht aber ganz oben auf der Roadmap für die anstehenden Versionen – und Red Hat scheint diese Entwicklung wohl zu lange zu dauern. Die kommerziellen Anbieter haben hier meist über viele Jahre hinweg sehr viel Arbeit investiert – diesen Vorsprung gilt es erst aufzuholen. Andererseits sind es nur wenige Verzeichnisse (vor allem E-Business- und Unternehmensverzeichnisse in sehr grossen Unternehmen), die hier wirklich kritische Anforderungen stellen. Falls OpenLDAP oder andere Optionen in Betracht gezogen werden, müssen diese intensiv bezüglich der Skalierbarkeit getestet werden.
Im Bereich der Sicherheit bietet SASL die Basis für die Einbindung unterschiedlicher Authentifizierungsmechanismen. Die erforderliche Flexibilität und Unterstützung für Verfahren, die über die schwachen Basisverfahren der LDAP-Authentifizierung hinausgehen, ist gegeben. Es gibt auch Zugriffskontrollmechanismen innerhalb des Verzeichnisses.
Bleibt noch die Integration, die soweit unkritisch ist, als nur mit LDAP-Zugriffen gearbeitet wird. Wenn es aber um eine engere Integration geht, bei der Agenten Änderungen erkennen und an Meta-Directory-Systeme oder andere Synchronisationsmechanismen weiterleiten, ist die Unterstützung am Markt bisher noch schwach.
Ein weiterer wichtiger Aspekt ist auch das Management der Systeme. Konfigurationsdateien sind ein Ansatz, der alleine aber nicht ausreicht. Red Hat nennt auch dies als einen der Faktoren, warum sich das Unternehmen für die Anwendung der früheren Netscape-Technologien entschieden hat.
Die Frage, ob man mit Open-Source-Verzeichnisdiensten und hier zum aktuellen Zeitpunkt insbesondere OpenLDAP arbeiten sollte, ist weniger eine Frage der Technologie als des Einsatzbereichs und der Strategie für Verzeichnisdienste. Die kommerziellen Produkte haben in unterschiedlichen Bereichen ihre Stärken. Letztlich stellt sich die Frage, ob man im Unternehmen bereits ausreichend solche Systeme produktiv nutzt, um alle wichtigen Anforderungen abdecken zu können und dabei auch die Erfordernisse von Anwendungen mit zu erfüllen. Ist das der Fall, dann spricht wenig für noch einen Verzeichnisdienst, vor allem weil OpenLDAP zum aktuellen Zeitpunkt nicht besser ist als das, was es am Markt gibt. Andererseits ist OpenLDAP vor allem für E-Business-Anwendungen und generell Anwendungsverzeichnisse durchaus eine Option – vor allem, wenn es nicht um extreme Skalierbarkeit geht. Spannend wird der Markt aber werden, wenn Red Hat sein neues Produkt auf den Markt bringt. Dann wird die Konkurrenz für die anderen Player im Directory-Markt definitiv härter werden.