Novells Verzeichnisdienst hat seit dem ersten Release der NDS mit NetWare 4 vor mehr als 15 Jahren bis zum aktuellen Stand etliche Überarbeitungen erfahren. Nach einer so langen Zeit ist es fast schon überraschend, dass es auch bei grundlegenden Funktionen wie der Replikation noch Potential für Verbesserungen gibt. Die Neuerungen beim eDirectory 8.8 machen aber klar, dass dem so ist. Aber nicht nur bei der Replikation, sondern auch bei den Installationsprozessen und in anderen Bereichen finden sich neue Funktionen.
Bei der Installation gibt es einige interessante Neuerungen. Die meisten betreffen allerdings nur die Linux- und Unix-Plattformen. Besonders wichtig ist, dass das eDirectory nun einerseits auch mit anderen Konten als Root installiert werden kann und dass andererseits auch benutzerdefinierte Verzeichnisse für das eDirectory festgelegt werden können. Bei der Installation mit Non-Root-Benutzern sind aber vorbereitende Schritte erforderlich, da einige Komponenten wie NICI (Novell International Crypthography Infrastructure, Verschlüsselungsfunktionen) vorab installiert werden müssen.
Dass benutzerdefinierte Verzeichnisse angegeben werden können, hat einen guten Grund: Auf Linux-Systemen lassen sich nun mehrere Instanzen des eDirectory parallel betreiben, was beispielsweise bei Anwendungsservern interessant sein kann. Allerdings darf man diese Funktionalität nicht überschätzen – innerhalb von Unternehmen sollte das Ziel eher die Reduktion der Zahl von Verzeichnisdiensten als der parallele Betrieb sein.
Aber auch für Windows-Benutzer gibt es Neuigkeiten. Im Gegensatz zu den bisherigen Releases muss auf einem Server mit dem eDirectory kein Novell-Client mehr installiert werden.
In das Produkt integriert wurde auch eine Komponente, die schon bisher als Add-on verfügbar war. Mit der SASL-GSSAPI-Authentifizierung wird Kerberos für die Anmeldung am eDirectory unterstützt. Benutzer können sich damit beispielsweise über den mit dem OES und SLES (Suse Linux Enterprise Server) gelieferten KDC oder über das Active Directory authentifizieren und ohne weitere Anmeldung auf das eDirectory zugreifen, soweit die Kerberos-Trusts entsprechend definiert wurden. Novell reagiert damit auch auf die derzeit deutlich wachsende Bedeutung von Kerberos als Standard-Authentifizierungsmechanismus in heterogenen Netzwerken.
Im Bereich der Sicherheit ist auch die breitere Unterstützung der Unterscheidung von Gross- und Kleinschreibung bei Kennwörtern erwähnenswert. Diese wurde mit dem Universal Password beim eDirectory 8.7 eingeführt. Dort wurde sie aber nur beim Novell-Client unterstützt. Beim eDirectory 8.8 beachten auch der iManager auf Nicht-Windows-Plattformen und verschiedene andere Tools die Gross- und Kleinschreibung. Die Umstellung auf das universale Kennwort und diese neuen Funktionen will allerdings genau geplant sein, da in der Migrationsphase beispielsweise die Synchronisation mit den bisherigen Kennwörtern erforderlich ist.
Im Bereich der Replikation gibt es gleich zwei wichtige Neuerungen. Das ist zum einen die priorisierte Synchronisation von Änderungen und zum anderen die verschlüsselte Replikation. Beide Funktionen werden nur in Umgebungen unterstützt, die vollständig auf das eDirectory 8.8 migriert sind.
Bei der priorisierten Synchronisation, die ausserhalb der regulären Synchronisationszyklen erfolgt, kann konfiguriert werden, welche Attribute nach Änderungen unmittelbar mit anderen Instanzen des eDirectory abgeglichen werden. Besonders wichtig ist der Ansatz für Kennwörter. Er kann aber auch bei Business-Anwendungen, die eine hohe Aktualität erfordern, Sinn machen.
Die verschlüsselte Synchronisation wiederum ist vor allem in Umgebungen mit hohen Sicherheitsanforderungen und bei der Synchronisation über nicht sichere Netzwerke interessant. Damit lassen sich Daten – bei entsprechend höherem Rechenaufwand – verschlüssen. Eine Einschränkung bleibt: Der Replikationsverkehr mit NetWare-Servern lässt sich nicht verschlüsseln. Unterstützt werden nur Windows, Linux und Unix.
Neben der Replikation gibt es auch bei der Speicherung von Attributen neue Möglichkeiten. Die Verschlüsselung kann auf Attributebene aktiviert werden. Damit lassen sich sensible Informationen auf den Servern zusätzlich zu den Zugriffsberechtigungen schützen.
Verbessert wurde zudem die Fehlerprotokollierung des eDirectory. Diese wird nun automatisch aktiviert und speichert Einträge mit Fehlermeldungen, Warnungen und Infos in Protokolldateien. Zusätzlich kann auch mit DStrace auf die Meldungen zugegriffen werden.
Weiter gibt es einige Detailanpassungen wie etwa die Erweiterung des iManager-Plug-ins für das ICE-Utility (Import, Conversion, Export), mit dem sich grössere Datenmengen in das eDirectory im- und exportieren lassen. Ausserdem wurde die Performance bei grossen Änderungen optimiert. Erwähnenswert ist zudem die Unterstützung von LDAP-basierenden Sicherungsvorgängen. Dabei handelt es sich um einige Schnittstellen für die Sicherung von eDirectory-Daten.
Im Ergebnis bietet das eDirectory 8.8 viele Neuerungen, aber keine Highlights. Das ist in einem Segment wie bei den Verzeichnisdiensten aber auch nicht zu erwarten. Die Änderungen bei der Replikation und der Installation bringen aber deutlichen Mehrwert.
