Novell Account Management 3.0 Współpraca z innymi systemami
Novell Account Management Stosujemy: gdy problem elektronicznej tożsamości ograniczamy tylko do centralnego zarządzania kontami użytkowników dla wielu systemów operacyjnych lub gdy należy dodać do mechanizmów synchronizacji Nsure Identity Managera (dawniej DirXML) zarządzanie kontami dla platform UNIX bez NISa lub platform mainframe
Bezpieczny dostęp do systemów operacyjnych wkrótce AS/400 i OpenVMS OS/390 Novell Account Management Novell eDirectory Tru64 UNIX NetWare AIX NT/2000/XP HP-UX Solaris Linux
Novell Account Management 3 Novell Account Management 3 oferuje usługi zarządzania dostępem i uwierzytelniania w środowiskach wieloplatformowych w oparciu o katalogi eDirectory oraz DirXML Użytkownik ma te samo ID i hasło na wszystkich platformach, z których korzysta Jeden punkt administrowania kontami użytkowników i grup Konta są automatycznie tworzone, konfigurowane, zarządzane i usuwane, na wszystkich platformach Wykorzystuje rozbudowane skrypty, aby można było zarządzać przyznawaniem praw, katalogami domowymi i innymi zasobami Administratorzy poszczególnych platform zachowują kontrolę nad swoimi systemami Z usług NAM można korzystać w całej firmie, bez względu na lokalizację
Platformy do przechowywania replik katalogów eDirectory (przypomnienie) NetWare NT 2000 2003 Solaris (Sparc) Linux AIX …
Możliwość zarządzania kontami w systemach operacyjnych 2000 2003 Solaris (sparc) Solaris (x86) HP UX Tru64 OS/ 390 Linux AS/ 400 AIX VMS Free BSD App x Account Management eDirectory NetWare NT 2000 2003 Solaris (Sparc) Linux AIX …
Struktura WIPS
Novell Account Management 3.0 rozwiązuje dwa problemy Tworzenie kont i praw dostępu dla wielu serwerów i systemów operacyjnych (platform) Jeden punkt administrowania kontami użytkowników i grup Konta są automatycznie tworzone, konfigurowane, zarządzane i usuwane, na wszystkich platformach Wykorzystuje rozbudowane skrypty, aby można było zarządzać przyznawaniem praw, katalogami domowymi i innymi zasobami Z usług NAM można korzystać w całej firmie, bez względu na lokalizację Account Management nie wymaga żadnych zmian po stronie klienta (stacji roboczej). 100% wire compablity Zarządzanie hasłami dostępu do systemów operacyjnych Użytkownik loguje się raz posługując się jednym identyfikatorem i hasłem dla wszystkich systemów operacyjnych. Możliwość wymuszenia centralnej polityki dotyczącej zmiany i charakterystyki hasła
NAM 3 – architektura Novell Account Management 3 składa się z dwóch podstawowych elementów. Core Services współpracują z eDirectory w celu dostarczenia usług uwierzytelniania (takich jak weryfikacja hasła), oraz dostarczenia informacji o zdarzeniach Access Management Events (takich jak dodanie/usuniecie konta grupy), dla platform (systemów), na których są uruchomione Platform Services. Platform Services wykorzystują Core Services i realizują poszczególne czynności na platformach (systemach). NAM 3.0 two principal parts offers user account management by interfacing to Novell eDirectory (implemented by Core Services) and authentication by interfacing to each specific platforms access management/authentication service (implemented by Platform Services)
Elastyczne usługi weryfikacji hasła NAM 3.0 stosuje 3 metody Redyrekcja (przez PAM) dla uniksów i OS/390, gdzie zmiana hasła i sprawdzanie uprawnień odbywa się przez przekierowanie zapytania do katalogu eDirectory Redyrekcja (przez PAM) wraz z synchronizacją z lokalną bazą na hoście UNIX (OS/390). Zmiana hasła i sprawdzanie uprawnień odbywa się przez weryfikacje hasła powiązanego z użytkownikiem w eDirectory. Hasła są jednocześnie synchronizowane do lokalnej bazy Unix (OS/390) Synchronizacja dla Windows (domeny NT i Active Directory), zmiany sa synchronizowane. Do synchronizacji jest wykorzystywany mechanizm Dir XML NAM 3.0 has 2 standard methods available for handling the user authentication process across platforms: Redirection that redirects password checks and changes to Novell eDirectory based on a System Intercept mechanism that interfaces with the API on the local platform. This enables it to capture password checks and changes, redirect them to eDirectory which in turn executes on the request, sends back any appropiate response which is then employed to provide access through the specific platforms security mechanisms or otherwise commit the action requested. Password synchronization that handles password synchronization across password stores. Each method is employing a standard platform specific service that uses standard platform specific services or API’s to hook into the platforms security mechanisms. MVS UNIX
Cechy Novell Account Management 3 Account Management przechowuje informacje o użytkownikach w eDirectory. Do komunikacji z eDirectory, usługi Core Services wykorzystują LDAP z eDirectory. Komunikacja między komponentami Account Managementu korzysta z TCP/IP i jest całkowicie szyfrowana (SSL, DES). Do administracji i monitorowania i logowania zdarzeń Account Management wykorzystuje Web interface Account Management nie wymaga żadnych zmian po stronie klienta (stacji roboczej) – 100% wire compablity Komponenty instaluje się tylko na serwerze
User and Group Management Jak to pasuje do siebie ? Core Services Platform Services SSL User and Group Management Other Windows Event Listener Manager Services Object Services Audit Services Certificate Services Web Services Journal Services Platform Receiver Receiver Scripts SSL eDirectory Novell DirXML XML MVS SSL User Authentication Authentication Services API Agents Unix NetWare NAM 3.0 is build around Novell eDirectory being the central ”hub” (- or meta directory) that provides the basic platform for user account management across platforms. Core Services provides various services that handles the Access Management Events that are initiated from within Novell eDirectory (i.e. creating or deleting users or groups). Platform Services provides services that executes on all User and Group Management events that needs to take place locally on the platform and it handles User Authentication by offering various means of password verification. All components communicate employing secure, encrypted (SSL) connections. Platform Services Process System Intercept
Jeżeli opcja lokalnej synchroni-zacji jest włączona NAM 3.0 zasada działania dla UNIX i OS/390 (Weryfikacja i zmiana hasła w systemach) NAM 3.0 UNIX Aplikacje eDirectory ID/Hasło LDAP ID/ Hasło PAM Agenci NAM3.0 PWRedir Jeżeli opcja lokalnej synchroni-zacji jest włączona T/N T/N T Unix DB
NAM 3.0 zasada działania dla UNIX (Jeżeli NAM nie działa, nadal można się logować do sytemów) Aplikacje eDirectory PAM Agent(s) PWRedir ID/Hasło T/N UNIX DB
Zarządzanie kontami na platformach (systemach) Każdy system jest reprezentowany w katalogu przez obiekt platform object platform object zaiwera informacje jak system integruje się z eDirectory Interfejs WWW jest używany do powiązania użytkowników, grup, organizacji, kontenerów z określonym systemem (platformą). Novell Account Management przekazuje polecenia tworzenia i kasowania kont do systemów NAM 3.0 umożliwia łatwe zarządzanie uniksowymi UID i GID Each OS platform in the environment that will be a target for user account management is represented by a Platform Object. Platform Objects contains information on how user account management will be handled on this particular platform and how users and groups will be created, managed or deleted based on it’s association, with any object that can be employed to contain or manage user or group related information (like user, group, container and organizational unit objects etc.). Platform Sets can be created to ease user provisioning across any convenient grouping of Platform Objects for departments and other collaborative units etc.
Zapisy struktury katalogowej
Właściwości użytkownika (e-user)
Zarządzanie przez portal
Podsumowanie Novell Account Management 3.0 Jednen login i hasło do wielu systemów. Możliwość centralnego definiowania kont w wielu systemach. Możliwość wymuszania centralnej zmiany i charakterystyki hasła (długość) w wielu systemach Zmiana hasła w jednym systemie zmienia je w pozostałych Rozwiązanie gotowe z pudełka