72                                                                                             4 Migrationsgebiete 4.2.3     Authentisierungs- und Verzeichnisdienste 4.2.3.1    Einleitung Verzeichnisdienste ermöglichen in Netzwerken den Zugriff auf eine Sammlung bestimmter Daten, ei- ner Art Telefonbuch, das nach Typen und Bereichen sortierte Informationen über Objekte enthält. Meist sind dies benutzer- oder gerätespezifische Daten, die von verschiedenen Anwendungen verwendet wer- den. Die zentrale Verwaltung und Speicherung hat den Vorteil, dass die Daten konsistent sind und sich eine Änderung an einer Stelle auch auf alle anderen verbundenen Anwendungen auswirkt. Ange- sichts immer umfangreicherer, verteilter IT-Infrastrukturen kommt deren möglichst einfacher Verwaltung, der Informations-Konsistenz, -Kontrolle und Übersichtlichkeit zentrale Bedeutung zu. Verzeichnisdiens- te sind dafür elementare     Hilfsmittel, weil sich damit Netzwerke     kosteneffektiv und mit vergleichsweise wenig Aufwand in einheitlicher Art und Weise verwalten lassen. Die meisten Verbindungen zu Verzeichnisdiensten sind lesender Art; schreibende Zugriffe für das Hin- zufügen, Ändern oder Löschen gespeicherter Informationen sind angesichts der Langlebigkeit der hin- terlegten Informationen vergleichsweise selten. Dadurch und durch die einfachen Datensitrukturen sind schnelle Zugriffszeiten die Regel. Häufig werden Verzeichnisdienste für die Authentisierung der Benut- zer an Systemen innerhalb einer IT-Infrastruktur verwendet. Hier sorgt die zentrale Speicherung bei- spielsweise dafür, dass der Benutzer sich an allen angeschlossenen            Clients mit dem   selben Passwort und Benutzernamen       für verschiedene Anwendungen            anmelden kann. Analog können systemweit zu Geräten Informationen wie Standort oder druckbare Seiten pro Minute hinterlegt und abgefragt werden. Für den Zugriff auf die hinterlegten Informationen eines Verzeichnisses werden spezielle Netzwerkpro- tokolle verwendet. 1988 wurde der auf dem ISO/OSI-Modell basierende Standard ISO/ITU X.500(1988) entwickelt, der u.a. das Directory Access Protocoll (DAP) für Client-Zugriffe auf Verzeichnisdienste vor- sieht; daneben sind weitere Protokolle definiert für Abfragen zwischen X.500-Servern und für Replikatio- nen. Angesichts der Komplexität des Standards und insbesondere des DAP wurde bereits wenige Jahre später eine vereinfachte (lightweight) Zugriffsvariante namens LDAP entwickelt, die zunächst als Mittler zwischen den Clients und dem DAP für den Zugriff auf den X.500-Server eingesetzt wurde. LDAP beschränkt sich auf das TCP/IP-Protokoll und weist gegenüber der X.500-Schnittstelle X/Open XDS deutliche Vereinfachungen auf. Neben auf das Notwendige beschränkter Funktionalität zählt dazu beispielsweise die Festlegung auf (ggf. verschlüsselte) einfache Zeichenketten für die Formulierung von Anfragen und Antworten. Diese Vereinfachungen führten zu einer raschen Verbreitung von LDAP als Zugriffsprotokoll. Als Folge der Verbreitung führten die Hersteller von X.500-Servern Erweiterungen ein, die das bis dahin notwendige Übersetzen von LDAP zu DAP erübrigten. Zudem entstanden reine LDAP- Server, die lediglich die zur Implementierung des Protokolls benötigte Funktionalität ohne die sonstigen X.500-Spezifika aufweisen.      LDAP     liegt derzeit in Version 3 (LDAPv3)   vor und ist über die IlETF in den RFCs 4510° bis 4519 offen standardisiert. 4.2.3.2    Kriterienkatalog Ein Verzeichnisdienst hat in erster Linie die Aufgabe, beliebig viele Anwendungen mit Daten aus dem zentralen Verzeichnis zu versorgen. Dabei gibt es verschiedene Möglichkeiten, wie Anwendungen an einen Verzeichnisdienst angebunden werden können (s.o.). Am weitesten verbreitet ist das LDAP- Protokoll, auf das auch Microsofts Active Directory (AD) zurückgreift, um Anwendungen zu unterstützen, die nicht direkt mit dem AD sprechen können. Ein Verzeichnis wird anhand eines Schemas strukturiert. Dieses sollte Container für alle wesentlichen Komponenten einer IT-Landschaft aufweisen, insbesondere für Benutzer, Benutzergruppen, Arbeits- platzrechner, Server und Drucker. Für diese Komponenten müssen Eingenschaften und Regeln defi- niert werden können, die festlegen, welche Komponente welche Rechte an einer anderen Komponente besitzt. Mit Hilfe von spezifischen Konstrukten und Organisationseinheiten sollte eine Hierarchie auf- gebaut werden können, die die reale IT-Landschaft unter organisatorischen und räumlichen Gesichts- 25 http://tools.ietf.org/html/rfc4510

4.2 Infrastruktur                                                                                                         73 punkten möglichst genau nachbildet. Abbildung 4.3 zeigt beispielhaft, wie ein solches Schema aussehen kann. o=ac   me dn: o=acme objectclass: top objectclass: organization o: acme c=de                                          c=at dn: c=de,   o=acme                            dn: c=at, o=acme objectclass: top                              objectclass: top objectclass: country                          objectclass: country c: de                                         c;at ou=webdesign                                     ou=hardware dn: ou=webdesign,      c=de,  o=acme             dn: ou=hardware,    c=at, o=acme objectclass: top                                 objectclass: top objectclass: organizationalUnit                  objectclass: organizationalUnit ou: webdesign                                    ou: hardware ou=People                                               oUu=Groups dn: ou=People, ou=webdesign,c=de, o=acme                dn: ou=Groups, ou=webdesign,c=de, o=acme objectclass: top                                        objectclass: top objectclass: organizationalUnit                         objectclass: organizationalUnit ou: People                                              ou: Groups Abbildung 4.3: Baumstruktur der LDAP-Inhalte“” Verzeichnisdienste werden vielfach zur Authentisierung und Autorisierung von Anwendern genutzt und müssen zu diesen folglich viele Eigenschaften verwalten. Deren leichte und übersichtliche Adminis- tration ist für die Systembetreuer wesentlich und wird daher zusammen                            mit sonstigen allgemeinen Eigenschaften der Alternativen und deren Aufbau beleuchtet. 4.2.3.3      Methodik 4.2.3.3.1       Ist-Analyse Zunächst ist festzustellen, welche Verzeichnisdienste derzeit eingesetzt werden. Weiterhin muss geprüft werden, welche Daten im Verzeichnis enthalten und wie                  sie organisiert sind (Schema). Zudem ist zu er- mitteln, in welcher Form die hinterlegten Informationen                exportiert werden können und ob das Schema in der exportierten Form erhalten bleibt. Hinsichtlich der               Verwendung der Verzeichnisdienste ist festzu- stellen, welche Anwendungen derzeit darauf zugreifen,                   welche Daten dabei abgerufen werden und in 27  Vgl.  http://de.wikipedia.org/w/index.php?title=Datei:Datenstruktur.png&filetimestamp=20091003211041,              abge- rufen: 27.02.2012

74                                                                                             4 Migrationsgebiete welcher Form die Anbindung der Anwendungen an die Verzeichnisdienste stattfindet. Diese Informatio- nen sollten über die Systemadministration beschafft werden können. 4.2.3.3.2    Soll-Konzeption Das derzeitige Schema       ist auf aktuelle Strukturen und Hierarchien sowie auf die Vollständigkeit der abgebildeten Bereiche und Objektarten zu prüfen. Dabei sind Anforderungen an die Replizierung oder Aufteilung des Datenbestands zu beachten. Sofern eine Überarbeitung des Schemas notwendig ist, sollte dies vor der eigentlichen Migration geplant und modelliert werden. Die konzipierten Änderungen sind während     oder unmittelbar nach der Migration des Verzeichnisdiensts auf der Basis des künftig eingesetzten Produkts umzusetzen. Zudem           ist zu prüfen, welche der bisherigen Anwendungen         in einer erweiterten Form Informationen von einem Verzeichnisdienst abfragen sollen und welche bisher noch nicht angeschlossenen Anwendungen           zusätzlich einen Zugriff darauf benötigen. 4.2.3.4    Betrachtete Alternativen Mangels vergleichbarer Absatzzahlen oder belastbarer Erhebungen kann die tatsächliche Verbreitung einzelner Produkte dieses Marktsegments nur geschätzt werden. Auf dieser Basis werden folgende Alternativen nachfolgend näher betrachtet: 1    Microsoft Active Directory als Marktführer, !    Samba    4 als Nachfolger des in Behörden verbreiteten Samba 3 sowie !    OpenLDAP als weit verbreiteter OSS-Alternative. 4.2.3.5    Bewertung 4.2.3.5.1    Active Directory (AD) Active Directory ist ein von Microsoft entwickelter Verzeichnisdienst für Windows Server. Ab der Version Windows Server 2008 umfasst Active Directory mehrere Domain Services (ADDS), die unterschied- liche Funktionalitäten zusammenbringen. Active Directory verwaltet die verschiedenen Objekte, die in einer IT-Landschaft relevant sind. Dies sind Benutzer, Gruppen, Computer, Drucker, Server, Dienste und andere Geräte und deren spezifische Einstellungen. Dadurch wird die Möglichkeit geschaffen, ein Netz- werk entsprechend der realen Struktur eines Unternehmens oder auch seiner räumlichen Verteilung zu gliedern. Die Verwaltung erfolgt am zentralen Datensatz und kann nur an den dafür vorgesehenen Stel- len von den berechtigten Personen durchgeführt werden. Mit Windows Server 2008 und der Einführung des ADDS sind fünf verschiedene Serverrollen unter dem Dach des Active Directory zusammengefasst: Active Directory Domain Services (ADDS)              Das ursprüngliche ActiveDirctory ist der zentrale Punkt des Verzeichnisdienstes und beherbergt die Ressourcen- und Domänenverwaltung. Active Directory Lightweight Directory Services (ADLDS) Bietet funktionell eingeschränkte Active Directory-Dienste für Funktionen und Anwendungen an, die LDAP-konforme Informationen be- nötigen. Dadurch können auch diese an das Active Directory angebunden werden. Active Directory Rights Management Services (ADRMS) Das Sicherheitsmodul des Pakets. Es schützt vor unbefugtem Zugriff, indem es verschiedene kryptographische Methoden bereitstellt, mit denen die Daten gesichert werden. Active Directory Federation Services (ADFS)             Dieser Dienst ist für die webbasierte Authentifizierung außerhalb der ADDS-Bereiche zuständig. Active Directory Certificate Services (ADCS)            Die  Komponente      für die  Zertifikatsverwaltung    und Public-Key Infrastruktur.

4.2 Infrastruktur                                                                                            75 Diese Rollen greifen in ihrer Funktionalität auf verschiedene Hauptkomponenten eines Active Directory- Servers zurück, die wiederum die Funktionsweise erst ermöglichen. Zum einen ist dies ein LDAP- Verzeichnis, in dem von AD Informationen über Benutzer und Komponenten,               deren Gruppenzugeh6- rigkeit und Rechte sowie andere zugehörige Daten gespeichert und miteinander verknüpft werden. Ne- ben den Benutzerdaten wie zum Beispiel dem Passwort werden unter anderem auch Zertifikate eines Rechners in diesem Verzeichnis gespeichert. Diese Daten können über das LDAP-Protokoll mit der ent- sprechenden Syntax abgerufen werden. Über das CIFS wird die Ablage und Verwaltung von sowie der Zugriff auf Daten realisiert. Aufgrund des standardisierten Protokolls stellt es auch eine Möglichkeit zur Anbindung an das Internet dar. Zum    Auffinden der einzelnen Computersysteme          und Dienstinformationen wird im Gegensatz       zu frü- heren Windows-Versionen, die NetBIOS zur Namensauflösung verwendet haben, DNS genutzt. Ältere Windows-Systeme der 2000er oder XP-Generation können bei entsprechender Konfiguration aber auch im Active Directory mit Hilfe von NetBIOS Ressourcen im Netzwerk ausfindig machen, eine Abwärtskom- patibilität ist in diesem Punkt vorhanden. Die letzte Hauptkomponente ist Kerberos zur Authentifizierung und für den Zugriff auf bestimmte Dienste im Netzwerk. Die Passworteingabe ist dabei nur einmal nötig, die Autorisierung gegenüber anderen Diensten läuft auf Basis des Kerberos-Tickets im Hintergrund ab. Die verwalteten Ressourcen werden im AD objektbasiert und hierarchisch strukturiert. Eigenschaften können als Attribute zugeordnet und an untergeordnete Objekte vererbt werden. Dadurch können Netz- werke und IT-Landschaften nach logischen Gesichtspunkten gruppiert und entsprechend der realen Struktur organisiert werden. In der Gesamtstruktur, die im AD-Jargon als Wald (forest) bezeichnet wird, werden alle Objekte und deren Attribute abgelegt. Innerhalb der Gesamtstruktur existieren mehrere Bäume (trees), die transitiv verknüpft sind und gleichzeitig die wiederum transitiv verknüpften Domänen verwalten. Damit die Objekte innerhalb des Waldes gruppiert und geordnet werden können, gibt es Con- tainerobjekte — die sogenannten Organisationseinheiten (Organisational Unit — OU). Durch geschickte Verschachtelung und Verknüpfung kann mit Hilfe der OU die Netzwerk- oder Organisationsstruktur ei- ner Behörde oder einer Abteilung nachgebildet werden. Aufgrund der umfangreichen Möglichkeiten zur Organisation der Daten innerhalb des Verzeichnisdienstes ist eine sorgfältige Planung bereits vor dem Aufsetzen einer solchen Verzeichnisstruktur unumgänglich. Eine Hilfe für den Systemadministrator bie- ten vorkonfigurierte oder selbst definierte Schemata als Muster für Active Directory-Einträge eines be- stimmten Typs. Sie definieren deren Objekttypen, die Attribute und die Attributsyntax. Zur Speicherung        der Daten   verwendet   Active Directory eine relationale, transaktionsorientierte Jet (Blue)-Datenbank, die von Microsoft auch für Exchange eingesetzt wird. Die Active Directory-Datenbank ist auf eine Größe von 17 Terabytes und 10 Millionen Objekte pro Domäne begrenzt. Diese Grenze ist allerdings eher theoretischer Natur, da nicht mehr als eine Million Objekte pro Domäne empfohlen wer- den. Die Datenbankdatei NTDS.DIT enthält drei Haupttabellen: die „schema table“ zur Speicherung der Schemata, die „link table“ zur Speicherung der Objekt-Struktur und die „data table“ zur Speicherung der Daten. Für das Ordnen der Daten nach dem vorgegebenen Schema ist eine Extensible Storage Engine (ESE) verantwortlich, die die nach einem relationalen Modell abgespeicherten Active-Directory-Daten in einem hierarchischen Modell anordnet. 4.2.3.5.2      OpenLDAP OpenLDAP ist eine Open-Source-Implementierung des LDAP-Protokolls und der entsprechenden Server-Funktionalität und Bestandteil der meisten Linux-Distributionen, läuft aber auch unter Windows und MacOS.        Damit ist dieses Produkt ein sogenannter Stand-alone LDAP-Server, also ein Verzeichnis- dienst, der Daten und Komponenten verwaltet und Clients mittels LDAP zur Verfügung stellt. OpenLDAP ist als freie Software unter der der BSD-Lizenz ähnlichen OpenLDAP           Public License veröffentlicht und stellt die Referenzimplementierung des LDAP-Protokolls dar. Schemadateien werden daher besonders sorgfältig auf Protokollkonformität geprüft, was zu gelegentlichen Fehlermeldungen beim Import solcher Dateien von Directory Server Agents anderer Hersteller führt. OpenLDAP ist ein leistungsfähiges und

76                                                                                             4 Migrationsgebiete gut skalierendes Produkt und besteht nicht nur aus dem Verzeichnisdienst, sondern umfasst auch noch andere Werkzeuge und zur Konfiguration benötigte Bibliotheken. Im einzelnen sind dies: slapd    Der Daemon,    der den Stand-alone Verzeichnisdienst bereitstellt. slurpd    Stand-alone Update Replication Daemon. overlays    Ermöglichen erweiterte Operationen. syncrepl    Sorgt für Synchronisation und Replikation gemäß RFC 4533. Bibliotheken und Werkzeuge          Stellen das LDAP-Protokoll bereit und bieten Hilfsmittel und Beispiele, die den Betrieb vereinfachen. Daten werden objektorientiert vorgehalten. Eine Objektklasse beschreibt eine spezifische Sammlung von Attributen, auf deren Basis einzelne Verzeichniseinträge (Objekte) gespeichert und gelesen wer- den können. Vordefinierte Objektklassen sind für Lokationen, Organisationen, Firmen, Personen und Gruppen vorhanden. Konzeptuell orientiert sich OpenLDAP am Aufbau des Domain Name Service. Oft gewählte Attribute im Standard-LDAP-Schema sind Common Name (CN), Organisational Unit (OU) und Country (C). Benutzer- oder Organisationsdaten lassen sich über Dateien im Lightweight Data In- terchange    Format  (LDIF)   in das LDAP-Schema      einpflegen.   LDIF kann    auch für viele andere Zwecke verwendet werden, beispielsweise für den Export eines bestehenden LDAP-Baums. OpenLDAP besitzt keinen expliziten Authentisierungsdienst. Unter dem Namen OpenLDAP Fort- ress existiert ein Software Development Kit (SDK), mit dem entsprechende Funktionalität für Java- Umgebungen      nachgerüstet werden kann. 4.2.3.5.3    Samba 4 Samba entstand 1992 aus dem Anspruch, den Datenaustausch zwischen SunOS und DOS-Rechnern ohne das auf Letzteren nicht unterstützte Network File System (NFS) zu ermöglichen. Mit dem Aufkom- men von Linux und der Portierung von Samba auf diese Plattform wurde das Vorhaben erweitert um die gemeinsame      Nutzung von Dateien, Verzeichnissen und Druckern durch Linux- und Windows-Clients. Samba     implementierte   hierfür eine beträchtliche Anzahl     an  Protokollen  und Services,     u.a. NetBIOS, WINS, SMB und CIFS. Gemeinsam genutzte Netz-Ressourcen auf der Basis von Samba 3 sind heute weit verbreitet und wie angestrebt von Windows- und Linux-Clients gleichermaßen nutzbar. Die Zugriffs- rechte können mittels Access Control Lists (ACLs) fein differenziert und beliebig gesetzt werden. Allerdings arbeitet Samba 3 lediglich als Partner eines zusätzlichen Active Directory und kann dessen Dienste nicht selbst bereitstellen. Dies hat zur Folge, dass man beim Einsatz von Samba 3 einen zu- sätzlichen Windows Server mit AD betreiben muss, wenn man Systeme in einem Netzwerk zu einem Verbund zusammenschließen und Benutzer zentral verwalten will (Sie10). Das Ziel von Samba 4 ist es daher, als vollständig Active Directory-kompatibler Domain Controller zu fungieren (Bar05) und AD ersetzen zu können. Samba 4 befindet sich derzeit laut Samba-Team noch in der Entwicklung; ein konkreter Termin für ein erstes Stable-Release von Samba 4 ist nicht bekannt®®. Allerdings sind die wichtigsten Elemente inzwischen in einem produktionsreifen Stand (Cor12). Zum Zeitpunkt der Veröffentlichung des Migrationsleitfadens bietet Samba 4 gegenüber seinem Vorgän- ger diverse Neuerungen, unter anderem die Unterstützung von Domänen-, Verzeichnis- und Authentifi- zierungsdiensten, die kompatibel zu Microsoft Active Directory sind. Mit Samba 4 realisierte Domänen ermöglichen zudem die Verwendung der von Microsoft bereit gestellten Werkzeuge für die Verwaltung von Benutzern oder Gruppenrichtlinien (GPOs). Univention nutzt Samba 4 als erster Distributor seit UCS 3.0°° als AD-Ersatz, hat diese Samba-Version für den Produktivbetrieb getestet®® und bereits bei 28 nttp://wiki.samba.org/index.php/Samba4, abgerufen: 29.02.2012 29 http://www.univention.de/fileadmin/univention/pressemitteilungen/111212_pm_ucs_3.pdf,     abgerufen: 29.02.2012 30 nttp://wiki.univention.de/index,php?title=Samba_4-Quickstart, abgerufen: 29.02.2012

4.,2 Infrastruktur                                                                                            77 mehreren Kunden im Produktivbetrieb. Für die Datei- und Druckdienste setzt UCS 3.0 allerdings paralle! noch Samba 3 ein, da diese in Samba 4 noch nicht die nötige Reife haben. 4.2.3.6      Empfehlungen Die Datenstrukturen innerhalb der betrachteten Verzeichnisse sind ähnlich aufgebaut, so dass sich hieraus für keine der Alternativen Vorteile ergeben. Einträge werden mit Containern gegliedert, einer Objektklasse zugeordnet         und nach einem vorher definierten Schema       eingepflegt. Standardobjektklas- sen sind zum Beispiel Organisation, organisationalUnit, Person oder Country. Sofern lediglich die Funktionalität eines Verzeichnisdienstes benötigt wird, kann OpenLDAP uneinge- schränkt empfohlen werden. Er bietet alle für einen Verzeichnisdienst relevanten Funktionen und kann schnell und einfach an jedes System           angebunden   werden.  Reine   LDAP-Server    sind zudem  sparsam im Verbrauch von Systemressourcen, skalieren gut und sind in verschiedenen Varianten auf allen Platt- formen verfügbar. Auch beim vermehrten Einsatz von Linux- oder MacOS-basierten Systemen ist der Einsatz reiner LDAP-Server ggf. parallel zu AD sinnvoll, da solche Systeme nur einen kleinen Teil der AD-Funktionalitäten verwenden können. Sollen allerdings weitere Verwaltungsfunktionen, insbesondere Authentisierungsdienste und Domänen- verwaltung, mit abgedeckt werden, genügt ein reiner LDAP-Server nicht mehr. Vielmehr sind hier die Funktionalitäten der beiden anderen betrachteten Produkte notwendig. Bis Ende 2011 war der Einsatz von AD als Authentisierungs- und Verzeichnisdienst in Verbindung mit der Verwaltung von Windows- Domänen alternativlos. Inzwischen ist Samba 4 aber zu einer ernsthaften Alternative herangereift, bringt einen eigenen LDAP-Server mit und deckt in der Kombination mit Samba 3 für Datei- und Druckdienste alle wesentlichen Aspekte ebenfalls ab. Damit vereint Samba 4 die Vorteile von AD und OpenLDAP und sollte daher als Alternative zu AD genau geprüft werden. In heterogenen        Infrastrukturen ist sowohl ein Parallelbetrieb von LDAP-Server und AD als auch der Einsatz     von   Samba    4 möglich,  da sich diese  nicht gegenseitig   stören  und jede   Ressource  sich mit dem jeweils passenden Verzeichnisdienst verbinden kann. Zu beachten ist hierbei aber eine konsistente Datenhaltung aller beteiligten Server, insbesondere zwischen einem reinen LDAP-Server und AD. Hier ist Samba 4 gegenüber reinen LDAP-Servern im Vorteil, da es die Replikationsmechanismen von AD aufweist. Unabhängig von einer Migration des Verzeichnisdiensts sollten die im derzeitigen Verzeichnis hinterleg- ten Daten und Strukturen nach größeren Änderungen oder Erweiterungen der Umgebung auf Aktualität, Übersichtlichkeit und Vollständigkeit geprüft werden. Entsprechende Korrekturen können ggf. noch im bestehenden Verzeichnisdienst umgesetzt werden, erleichtern dadurch den Systembetrieb und ebnen einer anstehenden Migration den Weg. 4.2.3.7      Migrations-Checkliste Die nachfolgende Checkliste stellt sicher, dass alle relevanten Aspekte bei der Migration von Verzeich- nisdiensten berücksichtigt werden. 4.2.3.7.1       Ist-Analyse 1. Verzeichnisdienst(e) identifizieren 2 . Genutzte Funktionalität, Probleme und denkbare Erweiterungen feststellen 3. Vorhandene       Daten und Struktur des Verzeichnisses analysieren 4. Heterogenität der IT-Landschaft innerhalb der Domäne prüfen 5 . Den Verzeichnisdienst nutzende Anwendungen erfassen

78                                                             4 Migrationsgebiete 4.2.3.7.2    Ist-Analyse auswerten 1. Liste eingesetzter Verzeichnisdienste 2 . Liste der diese nutzenden Anwendungen 3 . Möglichkeiten und Formate für Daten-Im- und -Export 4. Priorisierung der Anforderungen 5 . Konsolidieren der gewonnenen Erkenntnisse 4.2.3.7.3    Soll-Konzeption durchführen 1. Modellierung der künftigen Verzeichnisstruktur 2 . Festlegen  der zu verwendenden Standards und Protokolle 3.  Festlegen der anzubindenden Anwendungen 4 . Festlegen der Domänenspezifika und Ausnahmen 4.2.3.7.4    Bewertung   und Entscheidung 1. Vorauswahl der Prüfkandidaten 2, Berücksichtigung der Systemplattformen 3. Abgleich der Anforderungen an die Basisfunktionalität

4.2 Infrastruktur                                                                                           79 4.2.4      Groupware 4.2.4.1     Einleitung Eine Groupware ist eine Software, die die Zusammenarbeit in einer Gruppe über zeitliche und/o- der räumliche Distanz hinweg unterstützt und Schnittstellen für eine geteilte Arbeitsumgebung bietet. Groupware-Lösungen werden eingesetzt, um die Kommunikation und Planung innerhalb einer Perso- nengruppe zu vereinfachen. Zu diesem Zweck werden verschiedene Informationen und Daten auf dem Groupware-Server gespeichert und über ein Webinterface oder über einen Personal Information Mana- ger abgerufen und gepflegt. Dabei dient ein Groupware-Server als zentrales E-Mail- und Kommunikationssystem und verwaltet zu- dem Termine, Adressen und Kontakte, Aufgaben sowie Notizen. Einige solche Lösungen bieten auch die Möglichkeit, bestimmte Verzeichnisse auf dem Server mehreren Benutzern gemeinsam zur Verfü- gung zu stellen. Durch die zentrale, serverseitige Speicherung dieser Daten kann je nach Einstellung und Kategorie mit feingranularen Rechten für jede Ressource gesteuert werden, welche Daten wel- chen Benutzern oder Benutzergruppen zugänglich sind. Die zentrale Speicherung verhindert außerdem Inkonsistenzen und Missverständnisse und vereinfacht die Koordination von Terminen innerhalb einer großen Anzahl von Personen. Zum faktischen Weltmarktführer Microsoft Exchange Server gibt es viele alternative Groupware- Lösungen. Der Migrationsleitfaden betrachtet zwei davon (siehe Abschnitt 4.2.4.4 und folgende). Mit Lotus Notes, Zimbra, eGroupware, Tine2.0, Horde und Open-Xchange seien hier beispielhaft weitere Produkte erwähnt, die ebenfalls einen näheren Blick lohnen. 4.2.4.2     Kriterienkatalog Zentrale Aspekte eines Groupware-Servers sind aufgrund der verschiedenen Bereiche, in denen er ein- gesetzt wird, vielfältig. Mindestanforderungen an die Funktionalität eines solchen Servers sind die in der Einleitung bereits angesprochenen Aufgaben E-Mail, Kalender, Kontaktverwaltung mittels Adress- buch und eine Aufgabenliste. Diese sind auch gleichzeitig die Grundfunktionalitäten eines PIM. Des Weiteren sollte der Zugriff auf die verwalteten Daten und E-Mails über ein Webinterface möglich sein, damit Benutzer mobil und ohne speziell installierten Client auf die Groupware zugreifen können. Man- che Anbieter stellen eigens entwickelte Clients zur Verfügung, die im Gegensatz zu anderen PIM eine bessere, reibungslosere Anbindung an den Server gewährleisten sollen. Nicht jede Groupware kann auf jedem Betriebssystem installiert werden. Die diesbezüglichen Anforde- rungen der betrachteten Lösungen müssen daher untersucht werden. Während Microsoft seine Group- ware Exchange nur für Windows Server zur Verfügung stellt, der Anteil von unixoiden Betriebssystemen in der Serverlandschaft aber enorm ist, muss eine entsprechende Betrachtung der Kompatibilität in die Bewertung einfließen. Hardwareanforderungen an den Server werden in diesem Zusammenhang ebenfalls betrachtet. Nur wenige Anbieter stellen ihre Groupware als OSS zur Verfügung. Ein häufiges Modell ist hingegen die Bereitstellung der Groupware     als Open-Core-Software,     bei der nur Teile der Funktionalität frei zur Verfügung gestellt und durch proprietäre, kostenpflichtige Add-Ons ergänzt wird. Weitere Alternativen werden vollständig unter proprietären Lizenzen angeboten.        Die für die jeweilige Groupware    angebote- nen Arten der Lizenzierung und damit der Kosten sind folglich weitere Kriterien für die Analyse. Der anzusetzende Wartungsaufwand ist für den IT-Betrieb relevant und wird ebenfalls bewertet. Er umfasst das Einspielen von Updates, Produktaktualisierungen, Konfigurationen, das Einrichten neuer Benutzer, die Archivierung alter Daten und weitere ähnliche Tätigkeiten. Weitere Kriterien betreffen das Zusammenspiel mit Anwenderprogrammen, insbesondere mit PIM. Es ist zu prüfen, wie viele solcher Clients sich gleichzeitig mit einer Groupware-Instanz verbinden können und ob es hierbei Einschränkungen durch Lizenzen oder hohe Hardwareanforderungen gibt. Ebenfalls zu prüfen ist, über welche Protokolle die Kommunikation mit den Clients stattfinden, wie die Synchro- nisation mit Mobilgeräten realisiert und wie Datenhaltung, -zugriff und -transport abgesichert sind.

80                                                                                                          4 Migrationsgebiete Schließlich werden die Erweiterbarkeit der Serverfunktionalität durch Plug-Ins oder zusätzlich zu instal- lierende Software und eventuelle Einschränkungen durch bekannte Probleme oder nicht unterstütze Formate und Protokolle bewertet. 4.2.4.3      Methodik 4.2.4.3.1      Ist-Zustand In einem ersten Schritt wird der Ist-Zustand ermittelt. Dies beinhaltet sowohl die von den Benutzern eingesetzten      Clients   (PIM,  Webinterfaces,       Mobilgeräte),     die verwendeten      Server-    und   Client-seitigen Betriebssysteme, die innerhalb der Groupware benutzten Funktionen sowie die Struktur der Server- landschaft. Insbesondere die Anzahl und Heterogenität der mit der Groupware kommunizierenden Cli- ents sind für die Bewertung relevant. Sollten diese Informationen nicht durch Richtlinien festgelegt sein, sollten die Benutzer und die verantwortlichen Systemadministratoren befragt werden. Es ist zu klären, inwieweit derzeit Clients auf die Groupware abgestimmt werden müssen,                                um eine Synchronisation       zu ermöglichen       oder den vollen       Umfang     der Groupware      nutzen    zu können.     Gerade durch den Boom mobiler Geräte wie Smartphones und Tablets®! sind neue Anforderungen bezüglich der Synchronisation entstanden, die es zu beachten gilt. Festzustellen sind die verwendeten Protokolle und Formate für die Synchronisation, den E-Mail-Zugriff sowie den Zugriff auf Kontakt- und Kalenderdaten. Zudem sind damit verbundene Probleme aufzudecken. 4.2.4.3.2      Soll-Konzeption Bei der Erarbeitung des Soll-Zustands              müssen     die derzeit verwendeten        Funktionalitäten     als Mindest- anforderung berücksichtigt werden. Zudem muss geprüft werden, in wie weit Abhängigkeiten zu vor- handenen und künftigen Client-Systemen bestehen, da die künftige Groupware-Lösung eine Mindest- Kompatibilität     zu   den   Nutzersystemen        aufweisen     muss.     Zu  berücksichtigen     sind   ggf.  vorgegebene Server-Plattformen, einzubindende Infrastruktur-Systeme wie Verzeichnisdienste, Betriebsanforderun- gen hinsichtlich Verfügbarkeit und Wartungsfenstern, vorgegebene Hardware oder vorhandene Rah- menverträge für den Bezug von Software oder Dienstleistungen. 4.2.4.4      Betrachtete     Alternativen Mangels vergleichbarer Absatzzahlen oder belastbarer Erhebungen kann die tatsächliche Verbreitung einzelner Produkte dieses Marktsegments nur geschätzt werden. Auf dieser Basis werden folgende Alternativen nachfolgend näher betrachtet: !     Microsoft Exchange Server als Marktführer, {     Zarafa®? als in Behörden verbreitete Alternative zum Microsoft Exchange Server und i     Kolab® als verbreitetes OSS-Produkt. 4.2.4.5      Bewertung 4.2.4.5.1      Microsoft Exchange Der Exchange Server ist ein Groupware- und Nachrichtensystem des Unternehmens Microsoft und wurde 1996 eingeführt. Ursprünglich als reiner E-Mail-Server konzipiert, kamen mit der Zeit immer mehr Funktionen dazu, die Exchange zur vollständigen Groupware-Lösung werden ließen. Der Exchange Server bietet mit den Komponenten E-Mail-Server, Terminkalender, Aufgabenliste und Adressbuch alle 31 Als Tablets werden Finger- oder Stift-gesteuerte Mobilgeräte mit mittleren Bildschirmgrößen wie das Apple iPad bezeichnet. 32 nttp://www.zarafa.com 33 nttp://www.kolab.org

4.2 Infrastruktur                                                                                           81 Bestandteile der 0.g. Grundfunktionalität. Des weiteren können auf dem Exchange Server Notizen und Dokumente zentral verwaltet und innerhalb von definierten Benutzergruppen bereitgestellt werden. Jede Komponente kann umfangreich per grafischem Assistenten konfiguriert werden. So hat der Be- nutzer im E-Mail-Bereich die Möglichkeit, Nachrichtenfilter zu konfigurieren, Abwesenheitsbenachrichti- gungen einzustellen und auf dem Server eine eigene Verzeichnisstruktur zum Sortieren von Mails anzu- legen. Das Archivieren von E-Mails wird durch eine Backup-Funktion des Servers unterstützt. Der Ka- lender bietet die üblichen Funktionen: Neben dem Anlegen, Verwalten und Teilen von Terminen können auch Ressourcen (Räume, Beamer, etc.) angelegt und verwaltet werden, die dann im Zusammenhang mit Terminen oder einzeln gebucht werden können. Eine spezielle Ansicht, in der die Termine mehrerer Benutzer über einen bestimmten Zeitraum angezeigt werden können, vereinfacht das Finden von pas- senden Zeiten für Termine mit mehreren Teilnehmern. Im Adressbuch können persönliche Kontakte mit verschiedenen, vorher angelegten Benutzergruppen geteilt und globale Adressbücher verwaltet werden. Der Exchange Server findet vor allem in von Microsoft-Produkten geprägten Infrastrukturen Verwendung und eignet sich für alle Größen von Netzwerken. Er wird in einer Standard- und einer Enterprise-Version vertrieben, die sich im Umfang       ihrer Konfigurationsmöglichkeiten unterscheiden.    Die beiden Lizenzie- rungsvarianten zielen auf Größe und Umfang des Einsatzes ab. Die Standard-Version ist auf kleine und mittelgroße Benutzergruppen ausgerichtet und bietet die volle Bandbreite an Grundfunktionalitäten bei eingeschränkter Konfigurierbarkeit bezüglich Speichergruppen, Datenbankgröße und Clustering. In der Enterprise-Version wird die Anbindung einer größeren Anzahl an Benutzern ermöglicht, indem größere Datenbanken       angebunden    und mehrere Speichergruppen definiert werden      können. Zusätzlich können Enterprise-Exchange-Server als Cluster betrieben werden, wodurch Ausfallsicherheit und Performan- ce gesteigert werden können. Allerdings fallen je nach Lizenzierungsvariante und Anzahl der Benutzer erhebliche Kosten an. Mit dem Outlook Web Access (OWA) stellt Microsoft eine Webschnittstelle bereit, mit der über HTTP oder HTTPS per Browser direkt auf alle Grundfunktionalität von Exchange zugegriffen werden kann. Da diese Art des Zugriffs funktional nahezu identisch mit dem Zugriff per Outlook-Client und ihm auch op- tisch nachempfunden ist, wird auch deren Konfiguration und Verwaltung durch OWA unterstützt. Nach- teilig dabei ist, dass trotz Verwendung       des offenen HTTP(S)-Standards   die vollständige Funktionalität des OWA       nur dem   proprietären   Internet Explorer aus demselben   Hause vorbehalten ist. Alle ande- ren Browser müssen mit der eingeschränkten Variante Outlook Web Access Light Vorlieb nehmen, die gegenüber dem vollständigen OWA in Puncto Konfigurationsmöglichkeiten, Bedienbarkeit und Funktio- nalität deutlich abgespeckt ist. Die bevorzugte Art des Exchange Servers, mit seinen Clients zu kommunizieren, ist die von Microsoft entwickelte MAPI-Schnittstelle. Der volle Komfort und Funktionsumfang von Exchange kann nur durch deren Verwendung gewährleistet werden. Dies zielt auf eine enge Bindung an Outlook als diese unter- stützenden Client ab. Der E-Mail-Verkehr wird bei der Verwendung von MAPI über die „Microsoft-Direct- Push“-Strategie realisiert. Für die Synchronisation mit mobilen Clients greift Exchange auf den eigenen, proprietären Standard ActiveSync zurück. Die offenen Protokolle POP3 und IMAP werden serverseitig nicht vollständig unterstützt. Außerdem muss IMAP beispielsweise extra auf dem Server freigeschaltet werden, in der Grundkonfiguration ist diese Art des Zugriffs deaktiviert und somit nicht möglich. Die Sicherheit der Verbindungen wird durch eine Zertifikats-basierte Authentifizierung gewährleistet, SSL-/TLS-Connections sind möglich. Das Versenden von mit S/MIME verschlüsselten E-Mails stellt kein Problem dar. Die üblichen Methoden, um Benutzer vor unerwünschten E-Mails zu schützen, sind vor- handen. Exchange bietet hier einen intelligenten Anti-Spam-Filter und implementiert globales Black- und Whitelisting. Ein Interface zur Verwendung von Virenscannern von Drittanbietern ist vorhanden. Darüber hinaus ist die Erweiterbarkeit von Exchange über die mitgelieferten Komponenten hinaus nur in sehr begrenztem Umfang möglich. Der Exchange Server benötigt eine Windows Server als Plattform, ist nur als 64-Bit-Version erhältlich und hat erfahrungsgemäß im Vergleich zu den anderen untersuchten Produkten die mit Abstand höchs-