Alle Beiträge, jStage Platform, Technologien & Entwicklung

Mehr Überblick im Firmennetzwerk – Zugriffsrechte zentral steuern mit “NAM”

Thanks to Tristan Schmurr | CC BY 2.0

Die Verwaltung eines Firmennetzwerks ist eine anspruchsvolle Aufgabe. Verfügbarkeit, Sicherheit und Datenschutz müssen gewahrt werden, die Administratoren müssen genau steuern und nachvollziehen können, welches Gerät und welcher Benutzer auf welche der im Netzwerk bereitstehenden Ressourcen zugreifen können. Technisch gesehen gibt es genug Möglichkeiten diesen Anforderungen zu begegnen. Leider kocht jeder Hersteller sein eigenes Süppchen, jede Netzwerkkomponente hat eine eigene Verwaltungsoberfläche mit proprietärer Nomenklatur. Wertvolle Arbeitszeit teurer Netzwerkspezialisten wird für die Bearbeitung einfacher Aufgabenstellungen vergeudet. Um den Überblick nicht zu verlieren werden oft händisch Listen verwaltet.

Die Verwaltung eines Netzwerks ist oft schwieriger als es eigentlich sein müsste. (Bild: Cory Doctorow | CC BY-SA 2.0)

Mehr Überblick: “jStage Network Access Management” (NAM)

Deshalb haben wir bei jStage ein modulares System “Network Access Management” (kurz “NAM”) zur zentralen Steuerung der Zugriffsrechte in einem Netzwerk entwickelt. Die beteiligten Entitäten werden in einer intuitiv bedienbaren Weboberfläche verwaltet. Wo möglich erfolgen Zuordnungen automatisch, sonst werden sinnvolle Vorschläge gemacht. Jede Eingabe wird mehrstufig validiert, bevor sie transaktionssicher zur Auswirkung kommt.

Live on Stage: “jStage Network Access Management” bei Hama GmbH & Co KG

Die konkrete Umsetzung bei unserem Kunden Hama GmbH & Co KG wurde maßgeschneidert auf die dort bestehende Netzwerkstruktur abgestimmt. Gepflegt werden vorrangig die Entitäten “Subnetze” und “Rechner”. Das Netzwerk ist in durch Netzwerkadresse und -maske definierte Subnetze strukturiert, die sich jeweils in einem eigenen VLAN befinden. Wird ein neuer Rechner (das sind neben PCs und Notebooks auch mobile Geräte) in das Netzwerk eingebunden, wird dieser einfach einem Subnetz mit den gewünschten Zugriffsmöglichkeiten zugeordnet. Alles weitere erledigt NAM.

Unter der Haube

Unter der Haube ist NAM ein über zwei oder mehr Server verteiltes hochverfügbares System. Die elementaren Netzwerkfunktionen sind mit dem Radius Server “Freeradius” und dem “ISC” DHCP Server realisiert. Die Dienste laufen auf einem “DRBD” Laufwerk (shared nothing) und werden wie dieses von einem Cluster Management Stack aus “Corosync” und “Pacemaker” verwaltet. Das Design ist auf maximale Verfügbarkeit und Zuverlässigkeit ausgelegt. Selbst in einem Split-Brain Zustand, dem GAU in jedem Cluster, bleiben die Netzwerkdienste verfügbar.

Schematische Darstellung der wesentlichen Komponenten von "jStage Network Access Management" im produktiven Einsatz.

Schematische Darstellung der wesentlichen Komponenten von “jStage Network Access Management” im produktiven Einsatz.

Interface: für Mensch und Maschine

Die Weboberfläche haben wir mit dem bewährten Softwarestack “Spring Boot”, “AngularJS” und “Bootstrap” entwickelt. Das Ergebnis ist eine Weboberfläche auf der Höhe der Zeit mit Funktionen wie Volltextfilterung über alle Daten, Sortierung, Wiederherstellung gelöschter Daten u.s.w.. Die rollenbasierte Zugriffsteuerung greift auch auf der darunterliegenden REST Schnittstelle. Damit kann die gesamte Funktionalität bei Bedarf auch in eine Drittanwendung, wie z. B. ein Monitoringsystem, eingebunden werden.

Anschauliche Verwaltung vermeidet Fehler und steigert die Effizienz. (Bild: Leonardo Rizzi | CC BY-SA 2.0)

Ausblick

Durch den modularen Ansatz ist NAM nicht auf die beschriebenen Funktionen beschränkt. So können beispielsweise über passende Module Switches konfiguriert, dynamisch Regeln in den Firewalls erstellt oder ein VPN Gateway gesteuert werden.

Die Pflege der Entität “Person” ist ein weiterer Schritt in Richtung anschaulicher Verwaltung. Zugriffsrechte werden direkt an Personen vergeben, die Rechner bekommen die Rechte automatisch durch die Zuordnung zur Person. Das gleiche gilt für die Authentifizierung mit Passwörtern, Zertifikaten und Security-Tokens. NAM kann eine bestehende Benutzerdatenbank (meist ein LDAP Verzeichnis wie z. B. ein Active Directory) mit der Netzwerkverwaltung zusammen bringen.

Bisher fehlte am Markt die naheliegende Kombination von DHCP- und Radiusserver. NAM bringt das mit und geht darüber hinaus. So lässt sich die Administration eines komplexen Netzwerks wesentlich vereinfachen.

Sollten Sie Fragen haben oder Ihre Erfahrungen austauschen wollen, können Sie gerne einen Kommentar schreiben oder sich per E-Mail an mich wenden.