Im Ergebnis sollte als Erstes eine Policy zur Einrichtung eines
einheitlichen Namensraums diskutiert und erstellt werden. Dies ist
meiner Ansicht nach auch unabhängig einer Entscheidung des URZs für
oder gegen den Betrieb eines eigenen Active Directorys sinnvoll, um
Struktureinheiten der TU Chemnitz die konsequente und eine
konsistente Möglichkeit einzuräumen, einen AD-Dienst in eigener
Verantwortung einzurichten. Vorschläge zu einer Strukturierung dieses
Namensraumes sind bereits mehrfach gefallen und sollen hier nicht noch
einmal wiederholt werden. Dabei soll auch nochmal erwähnt werden, dass
ausschließlich die Domaincontroller einer Active Directory Domain in
diesem Namensraum eingerichtet werden müssen, da sowohl
Domain-Clienten als auch Mitgliedsserver einer Domäne dieser angehören
können, obwohl deren eigener DNS-Suffix sich von der Domäne
unterscheidet.
Auf Grund der Erkenntnisse dieser Arbeit halte ich die Einrichtung
einer zentralen AD-Domain für sinnvoll, um eine "`saubere"'
Integration von Windows-Diensten in die Struktur des URZs zu
gewährleisten. In der Folge entfallen aufwändige Anpassungen an
Notwendigkeiten der Kerberos-AFS-Umgebung im URZ auf den Windows
Clienten Systemen aber auch beim Betrieb von Anwendungsservern. Die
komplette Bereitstellung von Diensten zur Authentifizierung im
Windows-Kontext kann durch die Domaincontroller der AD-Domain
übernommen und sichergestellt werden. Darüberhinaus ist es dadurch
möglich, die Funktion von Gruppenrichtlinien einzusetzen und somit
gezieltere Eingriffe in die Betriebssystemkonfiguration von
Windows-Systemen vorzunehmen, als es ausschließlich durch Registry-
und Kommandozeilen-Werkzeuge möglich ist. Zusätzlich kommt neben der
Möglichkeit einer Softwareverwaltung mittels CFEngine hinzu, mittels
dieser Gruppenrichtlinien Software auf einer Auswahl oder allen
Rechnern der Domäne zu verwalten. So wäre eine Installation oder ein
Upgrade/Update der AFS-Clientensoftware durch eine zentrale Richtlinie
auf allen Systemen durchzusetzen.
Als weiterer Vorteil ist zu erwähnen, dass die Einrichtung von
Organisationseinheiten für Rechner einzelner Struktureinheiten
vorstellbar ist, durch welche eine zentrale Administration für die
grundlegenden Einstellungen der Rechner und spezielle Anpassungen an
Anforderungen der Struktureinheit auch durch versierte Nutzer
ermöglicht wird.
Die Domänen, welche in Struktureinheiten der Universität betrieben
werden sollen, sollten als eigenständige Gesamtstrukturen angelegt
werden, wodurch sich vorteilhaft nicht nur ein eigenes Schema ergibt,
welches ausschließlich in der Verantwortung der Struktureinheit liegt,
sondern auch eine aufwendige Integration in eine Gesamtstruktur durch
Administratoren des Universitätsrechenzentrums überflüssig wird.
Nachteilig ist zu erwähnen, dass sich dadurch für den Endanwender
mehrere zu pflegende Umgebungen ergeben, aber auch die Absicherung der
Verfügbarkeit der Domäne in der Verantwortung der Struktureinheiten
liegt. Außerdem ist zu bedenken, dass sich durch die Angliederung der
Nutzerverwaltung an die Datenbasis des URZs nicht nur ein einmaliger
Aufwand für die Clientensysteme ergibt, sondern auch der
kontinuierliche Bedarf der Aktualisierung aus diesem Datenbestand in
Verantwortung des Domänenadministrators entsteht.
Beachtet werden sollte in diesem Zusammenhang vor allem die Vermittlung
der Vorteile einer solchen Integration beispielsweise bei der Nutzung
von anderen Diensten wie dem AFS. Immerhin gebe ich zu bedenken, dass
zwar dank des Einsatzes eines zentral bereitgestellten VBScripts und
der im AFS abgelegten Datendatei eine Integration auch einer
eingeschränkten Nutzerauswahl relativ einfach möglich ist, aber es
entspricht nicht der Erfahrung und dem täglichen Umgang eines
windowsgewohnten Nutzers. Somit muss bei der Vorteilsvermittlung dem
Betrieb einer eigenen Nutzerverwaltung sinnvoll und überzeugend
entgegen gehalten werden.
Um eine Domäne einer Struktureinheit anzubinden, muss also seitens des
Rechenzentrums nur der Namensraum geschaffen, ein KRBTGT für die
Domäne im Heimdal angelegt, dessen Passwort dem Administrator der
zukünftigen Domäne verfügbar gemacht und in der zentralen
DNS-Konfiguration ein Forward-Eintrag oder die Dienst- und DC-Einträge
erstellt werden.
Durch die Erstellung der Vertrauensstellung im Windows-System mit dem
Passwort des KRBTGT aus dem Heimdal wird nicht nur eine Anmeldung der
Nutzer des URZs grundlegend ermöglicht, sondern auch
Dienstanforderungen aus der Domäne an das URZ werden realisierbar, so
etwa die automatische Anbindung von Homeverzeichnissen im AFS durch
das "`Integrated Logon"' des Windows-AFS-Clienten.
Auch sollte sich über den zentralen Kerberos-Realm eine implizite
Vertrauensstellung aller Nutzer mit allen Domänen ergeben. Diese kann
durch die Administratoren der einzelnen Domänen mittels der Einrichtung
expliziter Vertrauensstellungen untermauert werden. Dies ist bei
diesem Konstrukt insofern notwendig, als das innerhalb der Domänen eine
Abbildung der Prinzipale auf Nutzeraccounts der Domäne stattfinden,
welche in jeder Domäne einzeln geführt werden. Über diese
Vertrauensstellungen ist interstrukturelle Zusammenarbeit und der
Zugriff auf Ressourcen anderer Struktureinheiten verwaltbar.
Vorteilhaft soll nochmals erwähnt werden, dass durch diesen Aufbau
jede Domäne ein eigenes Schemata hat und pflegt und dieses jeweils nur
auf die eigenen Bedürfnisse anpassen muss. Somit kann innerhalb der
Struktureinheiten frei über die Auswahl der anzubietenden Dienste über
diesen Server entschieden und auch die Softwareauswahl frei gestaltet
werden. Es bedarf keiner Abstimmung bei Erweiterungen mit anderen
Domänen der Gesamtstruktur und es entstehen auch anderen Domänenadmins
keine Aufwände durch Wünsche fremder Domänen. Nicht zuletzt wird es
ermöglicht, mehrere Instanzen der MS-Collaborations-Software
"`Exchange"' entsprechend der Wünsche und Vorstellungen der einzelnen
Struktureinheiten zu betreiben.
Ein hier letztgenannter Vorteil ist der Aufbau eines globalen Katalogs
für jede Gesamtstruktur, also jede Domain. Dadurch ergibt sich ein
überschaubares Wachstum des globalen Katalogs und die Chance auch in
der zentralen Domäne, wo mindestens ein globaler Katalog zu führen
ist, den Datenbestand, welcher jeweils in den Katalog repliziert wird,
zu überwachen. In einer gesamten Baumstruktur hingegen ist es
schwerlich zu überblicken, wieviele Daten aus den Verzeichnissen der
angegliederten Domänen zu erwarten sind.
Grundsätzlich vorstellbar ist auch eine Baumstruktur, wobei zu jeder
Domain ein Heimdal-Cross-Realm-Trust bestehen muss und trotzdem in
jeder Domain die Nutzer zu pflegen sind. Dadurch entstehen implizite
Vertrauensstellungen innerhalb eines kleinen einheitlichen Namensraumes.
Nachteilig entsteht neben dem administrativen Aufwands bei der
Integration der neuen Subdomänen auch wieder die Einschränkung auf
ein einheitliches Gesamtstrukturschema.