Bind your DAM to AD!

In meinem heutigen Blogbeitrag möchte ich mich gerne mit dem Thema zentrale Directory Services für DAM Systeme, auseinandersetzen.
Zuerst einmal stellt man sich womöglich die Frage warum überhaupt DAM Systeme an einen zentralem Directory Server angeschlossen werden sollten. Im Prinzip liegen die Vorteile eines zentralen Directory Services ziemlich eindeutig auf Hand:

  • Alle Benutzernamen, Passwörter und Gruppen werden zentral an nur einer einzigen Stelle verwaltet. Kein zigfaches Anlegen von gleichen Accounts in mehreren Systemen
  • Mit Hilfe der Active Directory eigenen Vorgaben werden Richtlinien z.B. für das erstellte Passwort, oder für das Ablaufen des Passwortes ohne zusätzlichen Aufwand eingehalten.
  • Benutzerdaten können ebenso jederzeit zentral gelöscht werden. Kein unerheblicher Punkt, wenn man auf das Recht des „Vergessen Werdens“ im Sinne der DSGVO denkt.
  • Manche Schwierigkeiten, die durch eine Anbindung entstehen können, lassen sich durch eine sehr gute Planung im Vorfeld bereits beheben. Wird z.B. das Active Directory von anderen Personen administriert, als das DAM System so könnte man sich überlegen, ob man im AD eine eigene Gruppe etabliert, die zukünftig von den DAM Administratoren verwaltet werden kann. Sollte dies nicht möglich sein, dann muss im Vorfeld ein gut definierter Workflow ausgearbeitet werden, um zu gewährleisten, dass User oder Gruppen zügig für das DAM System durch die AD Administratoren angelegt werden. Wird das DAM System beispielsweise auch als Service für externe Anwender angeboten, so kann es oftmals sein, dass Accounts zügig angelegt werden müssen. Alle diese mehr oder weniger kleinen Hindernisse sollten einen aber nicht davon abhalten das DAM System an einen zentralen Directory Server anzubinden. Die Vorteile wiegen hierfür einfach zu schwer.
    Die Art und Weise wie das DAM angebunden wird, hängt natürlich vom jeweils eingesetzten System ab. Ich erläutere dies hier am Beispiel von Xinet NorthPlains, welches ich bereits mehrfach ans Active Directory angebunden habe.
    Xinet weist bei der Benutzerverwaltung zwei Besonderheiten auf:
    1. Xinet bietet dem Anwender immer noch die Möglichkeit Daten direkt auf dem Dateisystem zu bearbeiten. Hierfür ist es möglich sich mit dem jeweiligen Share per AFP oder SMB Protokoll direkt auf seinem PC zu verbinden und die Daten zu bearbeiten. Bei diesem Connect nutzt Xinet die lokalen Accounts des Betriebssystems und/ oder von Samba.
    Läuft also das DAM System auf einem Linux basiertem Server, so muss das Linux ans Active Directory angebunden werden. Die einfachste Art dies zu tun ist es ein kleines Third Party Tool zu benutzen Namens „Centrify Express“. Centrify Express ist in der einfachsten Version kostenfrei. Diese Version kann nur dazu verwendet werden, um das OS in unserem Fall Linux RH ans AD zu „patchen“. Natürlich würde auch absolut nicht dagegen sprechen dies mit Linux Bordmitteln zu machen, meine Erfahrung ist allerdings, dass die Anbindung mit Centrify wesentlich einfacher und schneller von Statten geht. Nach der Anbindung können sich die entsprechenden User aus der zugehörigen AD Gruppe am Filesystem der Xinet anmelden. Die Rechtesteuerung erfolgt nach wie vor über sogenannte „Access Control Lists (ACL)“ zu der nun in der Admin von Xinet einfach AD Accounts und nicht mehr lokale Accounts hinzugefügt werden.
    2. Das eigentliche DAM System „Xinet Portal“ von Northplains basiert noch immer auf der Apache Authentifizierung. NorthPlains stellt hierfür ein eigenes Apache Modul zur Verfügung, welches die Authentifizierung der Accounts gegen das Active Directory macht. Dieses Modul muss im Apache implementiert werden, dazu müssen noch einige weitere Anpassungen gemacht werden, die den Rahmen dieses Beitrags sprengen würden. Viel wichtiger als die technische Integration ist die Frage, was mit den lokalen Accounts und Gruppen geschehen soll, die bereits im Xinet vorhanden sind. Im Prinzip gibt es die Möglichkeit diese lokalen User und Gruppen weiterhin zu behalten, allerdings widerspricht dies dem gesamten Prinzip eines zentralen Directory Servers. Im DAM System hätte man dann lokale und zentrale Accounts und Gruppen, die nebeneinander existieren. Diese Mischung ist definitiv nicht zu empfehlen, daher sollte das gesamte DAM nur noch mit zentralen Accounts genutzt werden. Dies bedeutet aber auch im Falle von Xinet, dass die Gruppen, die bereits lokal vorhanden sind im AD angelegt werden müssen, ebenso wie alle Accounts die im DAM vorhanden sind und noch genutzt werden sollen. In diesem Zuge bietet sich auch eine Bereinigung der Accounts und Gruppen an, die sich über die Jahre angesammelt haben und die nicht mehr benötigt werden. Entschließt man sich die lokalen Benutzer und Gruppen nicht mehr zu nutzen, kommt nun ein etwas diffiziler Teil: Nachdem das DAM ans AD angebunden wurde, werden die Gruppen und deren Benutzer, die in der Xinet Admin auftauchen direkt aus dem AD geladen. Diese Benutzer und Gruppen können dann im Xinet nicht mehr bearbeitet werden, d.h. man kann weder das Passwort eines Benutzers ändern, noch die Gruppenzugehörigkeit eines Users. Dies alles kommt nun direkt aus dem AD. Die Krux ist nur, dass diese Gruppen für das Xinet natürlich komplett neue Gruppen sind, die weder Freigaben zur Verfügung haben, noch Metadaten zugewiesen haben. Man könnte nun den Aufwand in Kauf nehmen und die Gruppen settings im Admin alle manuell zuweisen, oder man macht dies direkt auf Systemebene. Variante zwei wurde von mir gewählt, allerdings ist dies nur umsetzbar, wenn man über sehr tiefe Kenntnisse des Xinet Systems verfügt, die weit über das Maß eines „normalen“ Administrators hinausgehen.
    Was ändert sich zukünftig für den Xinet Administrator, wenn Xinet ans AD angebunden wurde? Alle User und Gruppen kommen nun direkt immer aus dem Active Directory. Lokale User und Gruppen sind in der Admin von Xinet nicht mehr sichtbar. Die Benutzer und Gruppen können im Xinet nicht mehr verändert werden. Nach wie vor müssen aber administrative Aufgaben, wie das Freigeben von Volumes und das Zuweisen der Metadaten im Xinet gemacht werden. Wichtig ist hier zu beachten, dass jedem neuen Benutzer im Xinet manuell eine Primärgruppe zugewiesen werden muss, auch dann wenn der Benutzer nur Mitglied einer Gruppe ist, muss diese explizit im Admin als Primärgruppe gesetzt werden, da nur dann bestimmte Einstellungen für den Benutzer auch greifen.
    Letztendlich ist es heutzutage ein MUSS sein DAM System an einen zentralen Directory Server anzubinden. Niemand will in heutigen IT Strukturen Silos produzieren. Dies bezieht sich nicht nur auf die, im DAM verwendeten Daten, sondern auch auf die Benutzerverwaltung. Ist man an dem Punkt angekommen an dem man sich für ein DAM „neu“ entschieden hat, sollte man unbedingt diese Option wahrnehmen. Dies von Beginn an zu machen erspart später größere Umstrukturierungen.

    Fragen?

    Nehmen Sie Kontakt mit uns auf, wir helfen ihnen gerne weiter:


    2 Gedanken zu “Bind your DAM to AD!

    Kommentar verfassen

    Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

    WordPress.com-Logo

    Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

    Google Foto

    Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

    Twitter-Bild

    Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

    Facebook-Foto

    Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

    Verbinde mit %s