Verzeichnisdienste

Weitgehend unbemerkt von uns Normalsterblichen verrichten unzählige Verzeichnisdienste ihr Werk in verschiedenen Institutionen. Wenn man Netzwerke etwas weiter denkt als auf einen Standort bezogen, kommt man um dieses Thema irgendwann nicht mehr herum. Verzeichnisdienste gelten als sperrig, nur für Eingeweihte zu administrieren und haben immer die Aura des Mysteriösen um sich. Das stimmt übrigens beides. Gleichzeitig sind Verzeichnisdienste das zentrale Element, um Zugänge, Gruppenzugehörigkeiten, Rechte u.v.m. zu managen. Bei Microsoft heißt der Dienst ActiveDirectory (AD), bei unixoiden Betriebssystemen openLDAP. Die Sprache (das Protokoll), mit dem Verzeichnisdienste angesprochen werden, nennt sich LDAP.

Beispielvision:

Die Schulsekretärin gibt einen neuen Schüler in die Schulverwaltung ein, der die Schule gewechselt hat. Gleichzeitig sind damit ein Account auf dem Schulserver, eine E-Mailadresse und ein WLAN-Zugang angelegt und sämtliche Zugänge und Zugriffsberechtigungen auf der alten Schule deaktiviert. Selbstredend ist unser Schüler damit auch gleich den richtigen Gruppen auf der Lernplattform der Schule zugewiesen, in die Schulstatistik eingepflegt und in der Lehrmittelverwaltung mit den korrekten Attributen versehen (z.B. Geschwisterermäßigung bei der Schulbuchausleihe).

Das ist keine Zauberei und erst recht kein Datenschutzgau, sondern der Grund, warum Verzeichnisdienste erfunden worden sind. Schematisch sieht so etwas so aus:

verzeichnisdienst

Wir fangen mal unten an: In einem Verzeichnisdienst sind verschiedene Institutionen angelegt, die z.B. jeweils Nutzer, Gruppen und z.B. Geräte besitzen. Wir schauen uns mal einen Nutzereintrag an:

---------------------------------------------------------------------
| Objektname: Maik Riecken => Nutzer => Schule => Verzeichnisdienst |
|-------------------------------------------------------------------|
| Attribute:  Name                                                  |
|             Nachname                                              |
|             Benutzername                                          |
|             E-Mailadresse                                         |
|             Passwort (verschlüsselt)                              |
---------------------------------------------------------------------

Maik, der zur Institution „Schule“ gehört, möchte jetzt gerne mit seinem Handy im Rathaus surfen. Ein Accesspoint im Rathaus muss jetzt prüfen, ob Maik das auch darf. Dazu fragt er Maik erstmal nach seinem Nutzernamen und seinem Passwort und gibt beides an einen Vermittlerdienst weiter – im WLAN-Bereich über einen wiederum verschlüsselten Weg oft an einen sogenannten RADIUS-Server. Der RADIUS-Server leitet die Anfrage an den Verzeichnisdienst weiter und bekommt eine 1 oder eine 0 zur Antwort. Ist die Antwort 1, bekommt Maik jetzt Zugriff auf das Internet, ist sie 0, muss er leider weiter UMTS oder LTE nutzen. Der Witz an der Sache ist, dass außer sehr wenigen und darüberhinaus auch noch verschlüsselten Daten nur sehr wenig über das Netz geht (Datenschutz).

Für diese Aufgabe kann man auch theoretisch eine Datenbank wie MySQL nutzen. In der Tat erntet man oft Stirnrunzeln, wenn man Leuten vorschlägt, auf einen Verzeichnisdienst umzusteigen. Eine Datenbank kann die gleichen Aufgaben erledigen – aber:

  1. Für Verzeichnisdienste existieren standardisierte Schemata für Objektklassen
  2. Für Verzeichnisdienste existieren genau wegen dieser Schemata in sehr vielen Produkten standardisierte Schnittstellen (Moodle, Owncloud, WordPress, Drupal, Joomla! – fast jedes größere Projekt unterstützt LDAP und damit Single-Sign-On = ein Passwort für alles). Ich kann plattformübergreifend jeden Dienst mit LDAP betreiben, der das LDAP-Protokoll unterstützt. Sogar Apple.
  3. Die Organisation von Institutionen in hierarchischen Bäumen ermöglicht eine sehr granulare und standardisierte Rechtezuweisung, z.B. bekommen Polizei und Schulträger dann nur die Daten, die das jeweilige Landesdatenschutzrecht vorsieht – dafür aber jeweils immer tagesaktuell. Auch die beliebten Schulstatistiken gehören bei entsprechender Implementation der Vergangenheit an und liegen ebenfalls tagesaktuell vor. Niemand kann mehr „einfach so“ Listen mit Daten erstellen, die dem Gebot der Datensparsamkeit nicht genügen – weil es keinen Export mehr gibt und der auch nicht notwendig ist.
  4. Das Protokoll ist „lightweight“ und damit äußerst performant
  5. Wenn man den Verzeichnisdienst als Hauptdatenquelle implementiert, bekommt man über ihn eine Vernetzung verschiedener Applikationen und Institutionen ganz automatisch.

Die Lage in Deutschland sieht leider so aus:

  1. Es gibt kaum Schulverwaltungssoftware, die das kann.
  2. Es ist unklar, wo und von wem ein Verzeichnisdienst betrieben werden kann.
  3. Durch 16 unterschiedliche Datenschutz- bzw. Schulgesetze in den Bundesländern ist es für Anbieter nahezu unmöglich, eine Lösung anzubieten, die sich wirtschaftlich abbilden lässt.
  4. Ein Verzeichnisdienst gehört m.E. generell nicht in die Hand eines Anbieters, sondern ist eine öffentliche Aufgabe – gerade wegen der Kumulation der verschiedensten Daten an einer Stelle – also z.B. in ein kommunales oder Landesrechenzentrum.
  5. Die wenigsten Anbieter sind daran interessiert, standardisierte Schnittstellen anzubieten (oder lassen sich das teuerst vergüten), weil proprietäre Datenhaltung immer ein willkommenes Instrument der Kundenbindung ist – man muss sich nur mal anschauen, welcher Mist (z.B. SCORM in meinen Augen) in der Bildungsindustrie zum „Industrieausstauschstandard“ erklärt wird – obwohl es gut dokumentierte und standardisierte Formate und Protokolle gibt.
  6. Pädagogische und Verwaltungsanforderungen sind nicht immer klar zu trennen. Noten gehören für mich z.B. nicht in einen zentral aufgestellten Dienst.

Wer macht schon sowas in Ansätzen?

Univention ist sehr weit auf diesem Feld und betreut z.B. die Schulverwaltung in Bremen. Die Schleswig-Holsteiner denken Dank des ULD und der Piratenfraktion auch stark in diese Richtung. Ich selbst versuche, diese Lösung immer gleich mit im Blick für die Beratung und Konzeption von Netzwerken zu haben. Sie müssen es jetzt heute nicht können, aber später die Möglichkeit dafür bieten.

 

 

Facebook Like

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.