Verzeichnisdienste

Wie bereits gesagt, ist die zentrale Dienstkomponente des AD ein Verzeichnisdienst. Somit erscheint es sinnvoll, hier eine Erläuterung des Begriffes Verzeichnisdienst, Verzeichnis anzureißen und auf die beiden hauptsächlich vertretenen Standards einzugehen.
So geht [Gar03] wie folgt kurz darauf ein: "`Directories contain data describing ressources, such as computers, printer and user accounts that are contained within a particular network."' Dieses zeigt bereits auf den Sinn eines Verzeichnisdienstes innerhalb einer Organisation, die Bereitstellung von Informationen in einer klaren Struktur.

Zur Klärung des Begriffes Verzeichnisdienst sollte klar sein, was ein Verzeichnis ist. Jeder Einzelne hat sicher häufig mit Verzeichnissen zu tun. Es gibt sie auch nicht nur im elektronischen Umfeld, denken wir an Telefonbücher, Fernsehzeitungen oder Gebäudewegweiser, die einer Person ein Raum zuordnen.
Aber auch im elektronischen Umfeld hat man an verschiedenen Stellen mit Verzeichnissen zu tun - im Betriebssystem bei der Dateiablage, in Datenbanken bei der Datenspeicherung. Jeweils, wenn es um die strukturierte Ablage von Daten geht, um ein schnellstmögliches Wiederfinden nach bestimmten Suchkriterien zu gewährleisten, wird auf ein Verzeichnis zurückgegriffen.

Neben dem Verzeichnis als Datenablage, geht es hier um den Begriff des Verzeichnisdienstes. Wie [MR99] auf Seite 18 erwähnt, bestehen Verzeichnisdienste aus 2 Komponenten, dem Verzeichnis und dem Zugriffsdienst. Zum besseren Verständnis ist dies in Abbildung 2.1 nochmal dargestellt. Das Verzeichnis ist dabei der Datenbehälter, welcher in verschiedener Implementierung vorliegen kann. So sind Textdateien, binäre Dateiformate aber auch ein Datenbank-Backend als Verzeichnis denkbar. Der Zugriffsdienst wiederum definiert das Protokoll, wie und wer auf das Verzeichnis zugreifen kann, sowie, welche Manipulationen an den Daten zulässig sind. Grundsätzlich ist festzuhalten, dass ein Verzeichnisdienst sich von einer Datenbank durch häufigere Lese- statt Schreiboperationen unterscheidet.

Figure 2.1: Aufbau eines Verzeichnisdienstes

Verzeichnisse sollen die verschiedenen Datenquellen einer Organisation zusammenführen, damit Redundanzen, Inkonsistenzen vermeiden und die Datenaktualität erhöhen. Als weitere Vorteile nennt [MR99] das schnelle und sichere Auffinden einer Information, die Möglichkeiten der mehrdimensionalen aber auch unscharfen Suche, den offenen Zugriff, also die Erreichbarkeit der Information, deren Replikation, die Verfügbarkeit verschiedener Informationsformen, also die Möglichkeit unterschiedliche Medien zu unterstützen wie Texte, Bilder, Videos aber auch andere Binärformate. Auch die Kostenersparnis, geringe Wartungskosten und kostengünstige Auskunft werden genannt, wobei letzteres darauf abzielt, dass nicht der Einkauf des gesamten Verzeichnisses für den Erhalt einer Einzelinformation notwendig ist. Die Liste der Vorteile wird ergänzt durch die Informationsintegration. Dabei wird ein Aspekt von Verzeichnisdiensten angesprochen, der bisher nicht genannt ist. So gibt es anwendungsspezifische Verzeichnisdienste, die auch allgemein bekannt, aber vielleicht nicht als solche gesehen werden. Ein typisches Beispiel ist der Domain Name Service (kurz DNS) oder das Filesystem. Die zweite Form sind die offenen Verzeichnisse, die keine spezielle Vorgabe hinsichtlich der darin gespeicherten Informationen treffen. Vielmehr folgen solche Verzeichnisdienste dem objektorientierten Ansatz, beschreiben Strukturen durch die Anordnung von Objekten und deren Querverknüpfung. Die Anordnung, die Form der Objekte und deren Ausgestaltung sind nicht vorgegeben, werden vom Verzeichnisadministrator definiert und im Verzeichnis-Schema abgelegt. Außerdem bieten die offenen Verzeichnisdienste die Möglichkeit der Integration von Informationen, die wiederum von anwendungsspezifischen Verzeichnissen genutzt werden. So kann ein offener Verzeichnisdienst als Master-Verzeichnis dienen, also die Informationen strukturiert auch für anwendungsspezifische Verzeichnisse bereitstellen und somit als "`Single Point for Administration"' dienen.

Genau aus diesem Grund kann ein Verzeichnisdienst einen sehr zentralen Punkt in einer IT-Infrastruktur einnehmen. So lassen sich verschiedenste Informationen in einem solchen Master-Directory an einer Stelle administrieren. Die Vielfalt geht von Nutzerdaten, die zur Information dienen, über Authentifizierungs- und Authorisierungsdaten bis hin zu Informationen über Resourcen, wie Drucker, Rechner, Datenspeicher et cetera. Beispielsweise kann eben auch der DHCP-Server oder DNS-Server mit Informationen aus einem Master-Verzeichnis versorgt werden, genauso wie ein Mailserver (MTA), der beispielsweise Adressen umschreiben oder Mailinglisten bedienen muss.
Weiterhin besteht bei einem Verzeichnisdienst die Möglichkeit, administrative Aufgaben zu delegieren, was ein Argument zur Kostenersparnis ist. Jeder Nutzer kann in die Lage versetzt werden, seine eigenen personengebundenen Daten zu pflegen. Außerdem ist es beispielsweise denkbar, Mitarbeitern, die ihren eigenen Arbeitsplatz-PC administrieren, schreibenden Zugriff auf bestimmte Attribute dieses Rechners im Verzeichnis zu gewähren, um damit eine größere Aktualität zu erreichen.

Fällt die Entscheidung zu Gunsten eines derart zentralen Verzeichnisses, hat dies weitgreifende Auswirkungen, die wohl bedacht und in allen Phasen der Einführung und der ersten Betriebszeit gut begleitet und vermittelt werden wollen.
Da mit der Einführung von Active Directory in Windows 2000 ein derart zentrales Verzeichnis eingebracht wurde, ist dessen Einsatz genau zu planen. Vertiefend wird in Kapitel 4 darauf eingegangen.

In den folgenden Absätzen geht es um die beiden häufigst vertretenen Standards bei offenen Verzeichnissen: Dem X.500 mit seinem Zugriffsprotokoll DAP sowie dem einst als "`abgespeckte"' Variante abgeleiteten LDAP.