Æ-DIR -- paranoide Benutzerverwaltung basierend auf OpenLDAP
Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!
Æ-DIR ist ein paranoides Identity & Access Management basierend auf OpenLDAP.
Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene Systeme die Sichtbarkeit von Benutzern & Gruppen immer explizit (zweckgebunden) erlaubt werden. Dies erfolgt rein über Datenpflege in Æ-DIR.
LDAP-fähige Anwendungen müssen auch dank Schemakompabilität nicht speziell für Æ-DIR angepasst werden. Ein für Æ-DIR angepasste NSS-/PAM-Dienst aehostd ermöglicht die automatisierte Integration und performante Nutzung auch in grossen Server-Umgebungen.
Zudem wird die Administration auf mehreren Ebenen an kleine Benutzergruppen delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht auch Genehmigungsprozesse überflüssig. Strikte Vorgaben im System dienen der langfristigen Auditierbarkeit und somit als Grundlage für detaillierte Compliance-Prüfungen.
Durch Statusänderung auf "archiviert" kann dabei die Sichtbarkeit von Einträgen sehr stark eingeschränkt werden, um trotz der langfristigen Speicherung von Benutzerdaten (z.B. wg. GOB/GdPdU) ausreichenden Datenschutz (DSGVO) zu gewährleisten.
Michael Ströder
Michael Ströder ist seit mehr als 20 Jahren als freiberuflicher IT-Berater tätig. Seine Schwerpunkte sind Identity & Access Management (IAM), LDAP-basierte Verzeichnisdienste und angewandte Verschlüsselung.
Auf diesen Gebieten arbeitet er auch an freier Software: Æ-DIR, web2ldap und OATH-LDAP