A Windows és a Linux közötti személyazonosság-kezelés interoperabilitása egy kiemelt terület a Microsoft és a Novell együttműködésének 2006 novemberi bejelentése óta.Habár nem sokat lehet tudni arról, hogy a Microsoft és a Novell mit nyújtanak majd ezen a téren, de a bejelentés ezen szempontja nagy érdeklődést váltott ki. Az alábbiakban az érdeklődés okait taglaljuk, megvilágítjuk a Microsoft és a Novell megközelítésének lényegét, szót ejtünk az Active Directory korlátairól és a Red Hat szélesebb perspektívájú víziójáról a biztonsági információk interoperabilitásával kapcsolatban.
A legtöbb szervezeten belül a személyazonosság-táraknak több fajtája létezik. Acitve Directory Windows-on és Exchange-en, Red Hat Directory szerver háttérrendszerként az Internet felé nyitott portálok esetén, Peoplesoft humánpolitikához, egyszerű fájlok stb.
A személyazonossági információ elengedhetetlen biztonsági információ, ami a megfelelő hozzáféréshez és audit tevékenységhez szükséges, ugyanakkor a személyazonosság-tárak heterogenitása megnehezíti az IT számára azt, hogy biztonságosan és hatékonyan kezelje környezetét, és ez alatt a kormányzati előírásoknak is megfeleljen. A heterogenitás azt is megnehezíti, hogy a végfelhasználók hatékonyan jelentkezzenek be az alkalmazásokba.
Ez a probléma jól ismert és gyakran emlegetett. Többféle megoldás illetve megközelítés is létezik ennek a biztonsági kérdésnek a megválaszolására. A megoldások közé tartozik a federáció (autonóm adattárak egységes láttatása a külvilág számára), a metacímtárak, a virtuális címtárak, az ellátási megoldások, az egyszeri bejelentkezési pontot nyújtó (SSO) megoldások, az összes személyazonossági adat egyetlen tárba való centralizálása stb.
A szervezetek körében megjelenik egy szintén hasonló érdeklődés által övezett probléma is, vagyis az, hogy minden szervezet a saját adattárában ellenőrzi alkalmazottainak vagy ügyfeleinek adatait. Ez megnehezíti azt, hogy a felhasználók átmenet nélküli és biztonságos élményben részesüljenek, miközben online mozognak a különböző szervezetek között.
A Microsoft és a Novell azt sugallta, hogy az együttműködésük előnyöket hoz majd a szervezetek számára a Windows és a Linux közötti személyazonosság interoperabilitása területén. Eddig ez két dolgot jelentett.
Az egyik megközelítés az, hogy lehetővé teszik az SLE gépek számára, hogy észrevétlenül csatlakozhassanak az Active Directory által kezelt hálózathoz a Sambán és más eszközökön keresztül. Ez beleillik a személyazonosság interoperabilitásának „ az összes személyazonossági adat egyetlen tárba (AD) való centralizálása” elnevezésű megközelítésébe (lásd fent).
Sok szervezet választja ezt a megoldást, és meg is van az okuk rá — így hatékonyan és központosított módon tudják kezelni környezetükben a személyazonosságot. A Red Hat szintén befektetett a személyazonosság interoperabilitásának ezen megközelítésébe és jelentős mértékben a Sambába is, ami a RHEL 5.1-ben lesz látható.
A másik megközelítés, amit a két vállalat a bejelentésében kiemelt, az, hogy lehetővé teszik a személyazonosság federálását az Active Directory és az eDirectory között. Ez a szervezetek közötti személyazonosságok interoperabilitásának egy hasznos megközelítése, de nem jelent hosszútávú megoldást a személyazonosság ineteroperabilitására egy szervezeten belül. Rövid távon hasznos lehet, ha lehetővé teszik az eDirectory alkalmazását egy osztályon vagy egy újonnan felvásárolt vagy hozzácsatolt egységen belül azért, hogy federálják az Active Directory-val, de hosszútávon a szervezetek azt kívánják meg, hogy az információ szinkronban legyen tartva és ne csak egyszerűen federált legyen.
A Microsoft számára az egy szervezeten belüli személyazonosság interoperabilitása az összes személyazonosság Active Directory-ban való központosítását jelenti. Nem valószínű, hogy a Microsoft-Novell együttműködés ebben a stratégiában váltást képvisel.
Miért nem központosítjuk a Unix és a Windows kezelését az Active Directory-ban? Ennek biztosan meg vannak a maga előnyei. Az Active Directory most már egy elismert és méretezhető címtár, amit meglehetősen könnyű használni a Windows domének kezelésére, valamint a szervezetek nagy százaléka már ezt használja Windows-on.
Persze annak is meg vannak az okai, hogy egy szervezet miért nem akar mindent egy lapra, vagyis a Microsoft megoldására feltenni. Ezen okok közé tartozik az ár (a CAL-ok árai), a gyártófüggőség, az infrastruktúra változatosságának hiányával járó kockázatok és a zárt forráskódú megoldások hátulütői.
Továbbá, az Active Directory esetében sokkal konkrétabb aggodalmakról is beszélhetünk:
A személyazonossági, házirendi/konfigurációs és audit információ (IPA információ) a biztonság alapját képezik. Az, hogy milyen hatékonyan használjuk fel ezeket az információt, meghatározza, hogy mennyire jól tartjuk biztonságban a szervezetünket.
Azonban a létfontosságú személyazonossági és audit információk jelenleg több, független alkalmazásban tárolódnak, ahol nehéz azokat vizsgálni és egymással összefüggésbe hozni.
Ennek eredményeképpen a szervezeteknek a következő feladatok során nehézségekkel kell szembenézniük:
A nyíltság azt jelenti, hogy az információt nem tartják tulajdonosi hozzáadott értéknek, hanem elérhető más gyártók és alkalmazások számára; szabványokon keresztül ahol lehetséges, de minden esetben jól dokumentált és nyíltan elérhető protokollokon keresztül.
Az együttműködő azt jelenti, hogy a rendszereknek, melyek személyazonossági, házirendi és audit információkat tartalmaznak vagy kezelnek, visszafelé kompatibilisnek kell lenniük a létező rendszerekkel és protokollokkal. Azt feltételezve, hogy az infrastruktúra és a rendszerek mindig heterogének lesznek, az interoperabilitás olyan megoldásokat nyújt, melyek segítik a heterogén rendszerek együttműködését, ahelyett, hogy az egyetlen platformra vagy technológiára való migrálást erőltetnék.
A kezelhetőség azt jelenti, hogy azoknak a rendszereknek, amelyek kulcsfontosságú információt kezelnek, könnyen kezelhetőknek kell lenniük, akár központilag akár helyileg (azaz nincs szükség központi szerverre) is. Emellett a rendszerek a szubszidiaritás elvét kell, hogy kövessék, vagyis nagyobb hatáskörrel kell, hogy ellássák a felhasználókat azáltal, hogy lehetővé teszik az adminisztrációs jogok a szervezet lehetséges legalacsonyabb szintjére történő delegálását.
A Red Hatnek nem áll szándékában egy új, masszív megoldást a nulláról kezdve megvalósítani. Ehelyett az a szándéka, hogy a közösséggel, az ügyfelekkel, a versenytársakkal és más gyártókkal együtt dolgozva konkrét és hasznos lépéseket tegyen, és ahol lehetséges, létező megoldások és projektek felhasználásával.
Akár már most együttműködhetünk az érték hozzáadásában, azáltal hogy a személyazonosság, házirend és audit kezelését könnyebbé tesszük a Linux számára, mind helyileg mind központilag. Ha ezt jól csináljuk, akkor a közösség, a szervezetek, más gyártók, és a Red Hat maga is használni fogja a megoldást és kiterjeszti majd, így pedig megvalósul a szélesebb vízió.
A személyazonosság-kezelés és a személyazonosság interoperabilitása olyannyira fontosak, hogy a szervezeteknek nem az Active Directory-t kell a személyazonosság-kezelés és interoperabilitás középpontjába helyezniük a szervezetükön belül.
A személyazonosság csak egy részét képezi a létfontosságú biztonsági információknak, ami emellett tartalmazza az eljárást és auditot is. Mind a hármat együttműködővé és egymáshoz kapcsolódóvá kell tenni. A Red Hat, ennek megvalósítása érdekében egy nyílt, interoperábilis és kiterjeszthető megoldáson dolgozik.