MRMCD 2019

Your locale preferences have been saved. We like to think that we have excellent support for English in pretalx, but if you encounter issues or errors, please contact us!

Æ-DIR - das paranoide IAM für DevOps
2019-09-15 , Park Lane
Language: Deutsch

Æ-DIR ist ein Identity & Access Management, welches die Prinzipien Need-to-Know- und Least-Privilege ernst nimmt.


Æ-DIR ist ein paranoides Identity & Access Management basierend auf
OpenLDAP.

Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene Systeme die Sichtbarkeit von Benutzern und Gruppen immer explizit (zweckgebunden) erlaubt werden. Dies erfolgt rein über Datenpflege im LDAP-Server.

LDAP-fähige Anwendungen müssen auch dank Schemakompabilität nicht speziell für Æ-DIR angepasst werden. Ein für Æ-DIR angepasster NSS-/PAM-Dienst aehostd ermöglicht die automatisierte Integration und performante Nutzung auch in grossen Server-Umgebungen.

Zudem wird die Administration auf mehreren Ebenen an kleine Benutzergruppen delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht auch Genehmigungsprozesse überflüssig. Strikte Vorgaben im System dienen der langfristigen Auditierbarkeit und somit als Grundlage für detaillierte Compliance-Prüfungen.

Durch Statusänderung auf "archiviert" kann dabei die Sichtbarkeit von Einträgen sehr stark eingeschränkt werden, um trotz der langfristigen Speicherung von Benutzerdaten (z.B. wg. GOB/GdPdU) ausreichenden Datenschutz (DSGVO) zu gewährleisten.

Michael macht seit über 20 Jahren so Login-Sachen beruflich und entwickelt auch freie Software.