Ehsal beheert identiteiten
Op de Ehsal hogeschool in Brussel loopt een snel wisselend en steeds meer divers publiek rond. Om de rechten van zijn gebruikers te beheren, schakelde het instituut twee jaar geleden over op gecentraliseerde identity management software.
Ehsal heeft zo’n 4.500 eigen studenten en 600 personeelsleden (professoren, onderzoekers en stafdiensten). In toenemende mate moet de IT-afdeling van de hogeschool ook rekening houden met andere categorieën van gebruikers, zoals studenten en professoren van de Katholieke Universiteit Brussel en van de Fiscale Hogeschool. Die moeten allemaal kunnen inloggen voor toegang tot internet, intranet en toepassingen op de vier locaties van de Hogeschool.
Ehsal beschikte al jaren over een Novell Netware omgeving voor file & printdiensten van alle gebruikers. Daarnaast was er ook een Windows NT-domein, onder meer voor de intranet servers. De administratie van de gebruikers en hun rechten in beide omgevingen, betekende een forse administratielast voor de drie personen die het netwerkbeheer verzorgen.
Nieuwe studenten worden toegevoegd aan een SQL Server database. Met een aantal scripts had Ehsal er al voor gezorgd dat vanuit die database het aanmaken van user accounts en e-mailadressen voor een groot deel werd geautomatiseerd.
Dat werkte vrij goed in de periode waarin veel studenten inschrijven, en de scripts regelmatig konden worden uitgevoerd. Maar tijdens de rest van het jaar moesten studenten vaak wachten op hun login-gegevens.
Verloren wachtwoorden moesten in elk systeem afzonderlijk heringesteld worden. In 2005 besloot de hogeschool te investeren in identity management software, om de gebruikersadministratie te vereenvoudigen. De keuze voor Novell Identity Manager lag voor de hand, vertelt netwerkbeheerder Francine Dreesen. Onder meer omdat Novell’s directory server eDirectory aan de basis ligt van zowel Netware als Identity Manager. ‘En op dat moment waren er echt niet zo veel producten die dezelfde functionaliteit konden bieden’, zegt Dreesen. Zij kende nochtans wel de reputatie van DirXML, de directe voorganger van Identity Manager. Dat was een complex product dat veel manipulatie van XML-bestanden vereiste. Maar dat bleek in Identity Manager 2 grotendeels vervangen door grafi sche confi guratie, zegt Dreesen.
REPLICEREN
De grootste uitdaging was om gebruikers, eenmaal ze waren aangemaakt of gewijzigd in de SQL Server database, te repliceren naar de centrale identity vault van Identity Manager. Novell biedt daar twee benaderingen voor, vertelt Dreesen.
Ehsal opteerde eerst voor een implementatie waarbij gebruik werd gemaakt van database views, maar kwam daarmee in de problemen. Ondertussen is overgeschakeld op een meer complexe werkwijze met tussentabellen.
De volgende stap bleek dan weer bijzonder simpel: de gebruikersgegevens verder repliceren van de identity vault naar de Active Directory omgeving (die ondertussen het NTdomein vervangen heeft) en naar de Novell eDirectory omgeving (voor file & print en het Groupwise e-mailsysteem).
In juni 2005 werd Identity Manager in gebruik genomen. Ehsal koos bewust voor een geleidelijke aanpak: eerst een testomgeving opzetten om de juiste policies voor synchronisatie uit te proberen, en vervolgens stap voor stap het product in gebruik nemen. Die geleidelijke aanpak zorgde er ook voor dat Ehsal de nodige kennis opbouwde over de omgeving.
Een student die zich inschrijft bij Ehsal, krijgt vandaag al meteen een document mee met uitleg over het netwerk, met zijn eigen logingegevens en e-mailadres. Daarmee kan hij ogenblikkelijk aan de slag. Die account wordt op 15 oktober automatisch onbruikbaar, tenzij de student zich heringeschreven heeft. Toegangsrechten tot verschillende toepassingen worden bepaald via groepen in de directory.
Ondertussen komen er steeds nieuwe categorieën van gebruikers bij. De hogescholen die zijn geassocieerd met de KU Leuven werken in toenemende mate samen. Deze organisaties moeten elkaars gebruikers erkennen. Vandaag kunnen studenten met hun Ehsal login en wachtwoord in Leuven aansluiten op de internetdienst Kotnet. De Leuvense servers leggen daarbij contact met de directory van Ehsal. Dat gebeurt via de open source federated identity software Shibboleth.
