Version 1.1

Vortrag: Æ-DIR -- Authorized Entitites Directory

Agiles IAM fürs Rechenzentrum

Event large

Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!

Æ-DIR ist ein paranoides Identity & Access Management basierend auf OpenLDAP.

Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!

Æ-DIR ist ein paranoides Identity & Access Management basierend auf OpenLDAP.

Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene Systeme die Sichtbarkeit von Benutzern, Gruppen und sudoers-Regeln immer explizit (zweckgebunden) erlaubt werden. Dies erfolgt rein über Datenpflege in Æ-DIR.

Dabei müssen LDAP-fähige Anwendungen dank Kompabilität zu gängigen LDAP-Schemata nicht speziell für Æ-DIR angepasst werden. Zudem bietet Æ-DIR's LDAP-Schema nützliche Meta-Daten, um nicht den Überblick zu verlieren.

Der speziell für Æ-DIR angepasste NSS-/PAM-Dienst aehostd ermöglicht die automatisierte Integration und performante Nutzung auch in größeren Server-Umgebungen.

Zudem wird die Administration auf mehreren Ebenen an kleine Benutzergruppen delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht auch Genehmigungsprozesse nahezu überflüssig. Strikte Vorgaben im System dienen der langfristigen Auditierbarkeit und somit als Grundlage für detaillierte Compliance-Prüfungen.

Durch Statusänderung auf "archiviert" kann dabei die Sichtbarkeit von Einträgen sehr stark eingeschränkt werden, um trotz der langfristigen Speicherung von Benutzerdaten (z.B. wg. GOB/GdPdU) ausreichenden Datenschutz (DSGVO) zu gewährleisten.