Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Mit
teil
un
gen
A
usg
abe
96 |
Dez
emb
er 2
019
mitteilungen
Vielfalt und FairnessNHR im Verbund
Deutsches Forschungsnetz | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | www.dfn.de
MaßgeschneidertEine neue DFN-Entgeltordnung gewinnt Konturen
Erfolg verpfl ichtetDas Zukunftskonzept für die DFN-AAI
http://www.dfn.de
Impressum
Herausgeber: Verein zur Förderung
eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel.: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 370
Mail: [email protected]
Web: www.dfn.de
ISSN 0177-6894
Redaktion: Maimona Id
Lektorat: Angela Lenz
Gestaltung: Labor3 | www.labor3.com
Druck: Druckerei Rüss, Potsdam
© DFN-Verein 12/2019
Fotonachweis
Titelfoto: © chepkoelena / iStockphoto
Seite 6/7 © Koldunov / iStockphoto
Seite 42/43 © BDMcIntosh / iStockphoto
Umschlag Rückseite: © ortodoxfoto / Adobe Stock
mailto:[email protected]://www.dfn.dehttp://www.labor3.com
Kontinuität und stetige Erneuerung – das sind Begriffe, die mir sehr schnell einfallen,
wenn ich an den DFN-Verein denke. Auch konstruktive Auseinandersetzung und
Lösungsorientierung aller Beteiligten. Aber vielleicht bedingt ja das eine das andere.
25 von den 35 Jahren DFN-Verein konnte ich in verschiedenen Rollen miterleben. Und es ist
der Umgang des DFN-Vereins mit den größeren und großen Herausforderungen, die mir
besonders in Erinnerung geblieben sind. Da sind z. B. die Liberalisierung des IT-Marktes, der
Übergang von G-WiN auf X-WiN, die Entlassung in die wirtschaftliche Selbstständigkeit, die
Bewältigung des immer breiter werdenden Dienstportfolios und die regelmäßige Anpassung
des Tarifmodells.
Im Sommer 2018 musste sich die Mitgliederversammlung mit einer Situation auseinander-
setzen, die seit dem Zeitpunkt der Entlassung des DFN-Vereins in die wirtschaftliche Selbst-
ständigkeit 2004 neu war. Eine Entgeltanhebung für die Dienste DFNInternet und Mitnutzung
ab 2020 war auf Empfehlung des Vorstands und des Verwaltungsrates erforderlich und wurde
beschlossen. Ich gehörte zu denen, die vor einem solchen Beschluss eine Überprüfung für
dringend notwendig hielten: beispielsweise, ob der DFN-Verein Anwender, die DFN-Dienste
durchaus gern nutzten, sich aber den Internetanschluss scheinbar kostengünstig auf anderen
Wegen besorgten, stärker zur Kasse bitten könnte.
Das Ergebnis der Abstimmung war damals die mehrheitliche Zustimmung der Mitgliederver-
sammlung zur Entgelterhöhung, verbunden mit dem Auftrag an den Vorstand, die Nachhaltig-
keit und Zukunftsfähigkeit des bestehenden Entgeltmodells zu prüfen.
Seit gut einem Jahr befasst sich der Verein nun in seinen Gremien, so auch in den letzten beiden
Mitgliederversammlungen, mit den möglichen Konturen einer neuen Entgeltordnung, wie sie
von den Verantwortlichen in dieser Ausgabe der DFN-Mitteilungen zum ersten Mal vorgestellt
wird. Das vorgeschlagene Modell regelt nach meiner Einschätzung Wichtiges im Grundsatz, oh-
ne unnötig kleinteilig zu sein. Vieles ist nun, nach teilweise sehr intensiven Diskussionen, neu
geordnet worden. Und ich bin mir sicher, dass wir bald gemeinsam ein gutes und für alle Seiten
verträgliches Ergebnis erzielen werden.
Günter Springer
Leiter Universitätsrechenzentrum / CIO
Technische Universität Ilmenau
3DFN Mitteilungen Ausgabe 96 |
4
8 10
12
16
13 15
17 17
14
2
6
16 20 21
3 5
7
1
9
Unsere Autoren dieser Ausgabe im Überblick
1 Prof. Dr. Hans-Joachim Bungartz, Technische Universität München ([email protected]);
2 Jochem Pattloch, DFN-Verein ([email protected]); 3 Wolfgang Pempe, DFN-Verein ([email protected]);
4 Christian Meyer, DFN-Verein ([email protected]); o. Abb. Hartmut Pröger, DFN-Verein ([email protected]);
5 Maimona Id, DFN-Verein ([email protected]); 6 Anja Busch, ZBW ([email protected]); 7 Dr. Jakob Tendel, DFN-Verein
([email protected]); 8 Martin Waleczek, DFN-CERT ([email protected]); o. Abb. Stefan Kelm, DFN-CERT
([email protected]); 9 Dr. Ralf Gröper, DFN-Verein ([email protected]); 10 Heike Ausserfeld, DFN-Verein
([email protected]); 11 Ralf Paffrath, DFN-Verein ([email protected]); 12 Rene Schneider, DB Systel GmbH
([email protected]); 13 Denise Dittrich, IT Center RWTH Aachen
([email protected]); 14 Dr. Thomas Eifert, IT Center RWTH Aachen ([email protected]);
15 Dr. Thomas Hildmann, Technische Universität Berlin ([email protected]);
16 Johannes Baur, Forschungsstelle Recht im DFN ([email protected]); 17 Nico Gielen,
Forschungsstelle Recht im DFN ([email protected])
11
4 | DFN Mitteilungen Ausgabe 96 | Dezember 2019
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]
Wissenschaftsnetz
Eine neue Entgeltordnung gewinnt Konturen
von Hans-Joachim Bungartz, Jochem Pattloch ................... 8
AAIplus – ein Zukunftskonzept für die DFN-AAI
von Wolfgang Pempe .................................................................. 13
DFN VoIP-Centrex macht mobil
von Christian Meyer .................................................................... 20
Virtualisierungsverwaltung leicht gemacht
von Hartmut Pröger ..................................................................... 22
Forschung
Vielfalt und Fairness fördern – NHR im Verbund
Interview mit Dr. Achim Basermann .................................... 26
GeRDI – disziplinübergreifende
Forschungsdateninfrastruktur von morgen
von Anja Busch, Jakob Tendel .................................................. 30
Sicherheit
Wir sind dabei – European Cyber
Security Month 2019
von Martin Waleczek, Stefan Kelm ........................................ 36
Let’s DFN-PKI!
von Ralf Gröper .............................................................................. 38
Sicherheit aktuell ......................................................................... 41
Campus
Cloud Migration und Transformation der DB Systel
von Rene Schneider ..................................................................... 43
Heiter bis wolkig – Cloud-Dienste an
der RWTH Aachen
von Denise Dittrich, Thomas Eifert ....................................... 46
TUB Collab Cloud – Zusammenarbeit
über Grenzen hinweg
von Thomas Hildmann ................................................................ 49
Recht
Unmaskiert wird abkassiert!
von Johannes Baur ....................................................................... 52
Die Sicherheit unserer Daten
von Nico Gielen .............................................................................. 55
DFN-Verein
DFN unterwegs ............................................................................. 58
DFN live ............................................................................................ 60
Überblick DFN-Verein ................................................................. 63
Mitgliedereinrichtungen .......................................................... 65
Inhalt
5DFN Mitteilungen Ausgabe 96 |
6 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
WissenschaftsnetzEine neue Entgeltordnung gewinnt Konturen
von Hans-Joachim Bungartz, Jochem Pattloch
AAIplus – ein Zukunftskonzept für die DFN-AAI
von Wolfgang Pempe
DFN VoIP-Centrex macht mobil
von Christian Meyer
Virtualisierungsverwaltung leicht gemacht
von Hartmut Pröger
7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
Eine neue Entgeltordnung gewinnt KonturenSeit über 35 Jahren gibt es den DFN-Verein, und von Anfang an brauchte es eine Antwort
auf die Frage: Nach welchen Regeln legen wir die Kosten für Netz und Dienste auf
die teilnehmenden Einrichtungen um? Über Jahrzehnte entstand so eine Vielzahl an
Regelungen, die das heutige Entgeltmodell des DFN-Vereins darstellen. Aber passt
das alles eigentlich gut zusammen? Und ist es noch zeitgemäß? Und was ist eigentlich
ein „gutes“ Entgeltmodell? Eine von den Mitgliedern beauftragte Prüfung soll
Antworten finden.
Text: Hans-Joachim Bungartz, Jochem Pattloch (DFN-Verein)
Foto © Photology1971 / Stock Adobe
„Fair, solidarisch, bedarfsgerecht“ – wenn sich der
DFN-Verein ans Werk macht und das Entgeltmodell
für seine Dienste auf den Prüfstand stellt, dann
sind diese Begriffe schnell in der Diskussion. Aber
was bedeuten sie genau? Und gibt es noch mehr
Prinzipien, auf denen eine Entgeltordnung aufge-
baut sein sollte? Fragen über Fragen, mit denen
sich die Mitglieder immer wieder intensiv ausein-
andergesetzt haben. Und natürlich ist solch eine
Diskussion für die Mitglieder keine leichte Heraus-
forderung, denn neben dem strategischen Blick
für den DFN-Verein als Ganzes schwingt ja immer
auch, mehr oder minder lautstark formuliert, die
Frage mit: „Alles schön und gut mit irgendwelchen
Prinzipien. Aber was heißt das für mein eigenes
Budget?“ Keine leichte Aufgabe also, mit der die
Mitgliederversammlung den Vorstand beauftragt
hat. Aber mittlerweile zeigt sich: Eine neue Ent-
geltordnung gewinnt Konturen!
Warum jetzt?
Die Kostendeckung des DFN-Vereins ist ein ganz
grundlegendes Thema, das regelmäßig behandelt
wird. Ein konkreter Anlass, sich ganz intensiv da-
mit zu befassen, ergab sich aber im April 2017.
So erkannte der Verwaltungsrat damals im Rah-
men seiner strategischen Finanzplanung, dass
8 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
ab dem Jahr 2020 die geplanten Ausgaben nicht
mehr mit den geplanten Einnahmen zu decken
wären. Seitdem der DFN-Verein im Jahr 2004
in die wirtschaftliche Unabhängigkeit entlas-
sen wurde, war das ein Novum. Denn vor al-
lem durch das seinerzeit völlig neu gestaltete
Betriebskonzept des Wissenschaftsnetzes war
ein Grundstein gelegt worden, mit dem dann
die Beschaffungsverfahren für benötige Vor-
leistungen immer wieder zu sehr wirtschaft-
lichen Ergebnissen geführt werden konnten.
So entwickelte sich für viele Jahre das bei al-
len Beteiligten sehr beliebte und irgendwann
auch gewohnheitsmäßig erwartete Szenario:
„Der DFN-Verein steigert die Leistung seiner
Dienste entsprechend der Bedarfe seiner Mit-
glieder und kann dennoch auf eine Erhöhung
der betreffenden Entgelte verzichten.“ Für die
Teilnehmer an den DFN-Diensten bedeutete das
eine komfortable Form von Planungssicherheit,
denn sie brauchten in ihren Häusern keine Aus-
einandersetzungen um steigende Mittelanfor-
derungen für den benötigten Zuwachs an Leis-
tungen führen. Und nun platzte in diesen an-
genehm eingeschwungenen Zustand im April
2017 also die Botschaft: „Achtung! Ab dem Jahr
2020 geht es so nicht weiter.“
Was war passiert? Zunächst einmal hatte sich bei
mehreren Ausgabenpositionen die allgemeine
Preissteigerung über die Jahre bemerkbar akku-
muliert. Ein probates Gegenmittel, nämlich die
ständige Suche nach Optimierungspotenzialen,
war hingegen über die Jahre immer schwieriger
und kleinteiliger geworden. Viele Verbesserun-
gen waren schlicht schon gefunden und umge-
setzt. Aber vor allem: Mit dem Tempo seiner Leis-
tungssteigerungen hatte der DFN-Verein offen-
bar eine Schwelle überschritten, mit dem wich-
tige Lieferanten von Vorprodukten überfordert
schienen. Das zeigte sich besonders schmerz-
lich nach dem 2016 abgeschlossenen Beschaf-
fungsverfahren für das Zugangsnetz, das ins-
gesamt nicht den erwarteten dämpfenden Ef-
fekt auf die betreffenden Ausgaben erzielte. Da
das Zugangsnetz circa ein Drittel der Gesamt-
ausgaben des DFN-Vereins verursacht, war das
ein echtes Problem.
Weichenstellungen
Unter dem Strich war damit klar: Es war an der
Zeit, dass sich der DFN-Verein grundlegend mit
der Kostendeckung des Netzes und seiner Diens-
te befassen muss. Welche Weichenstellungen
waren erforderlich, um auch über 2020 hinaus
den Auftrag der Mitglieder erfüllen zu können?
Ein erster Gedanke, die Steigerung der Leistung
der DFN-Dienste zukünftig nicht mehr am Be-
darf der Mitglieder zu orientieren, war schnell
vom Tisch. Während in der Wissenschaft die di-
gitale Transformation mit hohem Tempo voran-
schreitet und neben kompetitiven auch koope-
rative Facetten hat, bei denen der DFN-Verein
ins Spiel kommt, kann er nicht einfach „Auszeit,
Auszeit“ rufen. Damit würde er ganz schnell –
um in diesem Bild zu bleiben – als relevanter
Player vom Spielfeld verschwinden.
Blieben zwei weitere Optionen: Zunächst sollte
die Suche nach Optimierungspotenzialen neu
gedacht werden, indem auch bislang wertge-
schätzte Positionen auf den Prüfstand gestellt
werden, beispielweise: „Können wir in vertret-
barem Umfang die gegenwärtige Dienstquali-
tät vermindern und damit Investitionen einspa-
ren?“ Eben die typische Controller-Frage (bei der
manche Ingenieure grimmige Gesichter bekom-
men). Wer zu den Mitgliederversammlungen kam,
kennt die Antwort: „Ja, das geht und hat beispiels-
weise die aktuelle Gestaltung der IP-Plattform
mitbestimmt. Es kann aber nicht die ganze Ant-
wort auf unser Problem sein.“ Darum hatte die
Mitgliederversammlung ergänzend beschlos-
sen, die Entgelte für DFNInternet und Mitnut-
zung zum 1. Januar 2020 um 14,5 Prozent zu er-
höhen. Begleitend wurde damit die Planungs-
sicherheit in Aussicht gestellt, die Entgelte für
diese DFN-Dienste bis zum Ende der kommen-
den Dekade nicht mehr anpassen zu müssen.
Die Frage der mittelfristigen Kostendeckung
war damit also ausführlich diskutiert und be-
antwortet. Damit wäre bei diesem Thema doch
alles gut, oder?
Foto © Photology1971 / Stock Adobe
9WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
Maß nehmen
Nicht ganz. Wenn wir schon mal dabei sind, uns grundlegende
Gedanken zur Kostendeckung zu machen, dann sollten wir
uns – nachdem wir über die Anpassung der Höhe der Entgelte
einen breiten Konsens erzielt haben – jetzt auch mal die gel-
tenden Regelungen der Kostenumlage und ihre Umsetzung
anschauen. In diesem Sinne wurde die Diskussion in der Mit-
gliederversammlung fortgesetzt. Salopp formuliert: „Passt der
alte Anzug noch, oder sind wir angesichts des sich schnell wan-
delnden Umfelds mit einem neuen Anzug besser gekleidet?“
Am Anfang stand die Frage: „Wo kneift denn der Anzug?“ Erste
Kritikpunkte am heutigen Entgeltmodell waren schnell bei
der Hand: dass zum Beispiel die gegenwärtigen Regelun-
gen für sehr kleine Einrichtungen nicht bedarfsgerecht sei-
en. Weitere Schwächen ließen sich aufdecken, wenn sie im
kollektiven Bewusstsein der Mitgliedschaft ohnehin schon
länger rumorten. Kniffeliger wurde es hingegen, wenn Posi-
tionen formuliert wurden, in denen sich triftige Kritikpunk-
te mit partikularen Interessen vermischten. Insgesamt war
wichtig: Es muss alles auf den Tisch. Letztendlich ergab ein
ausführliches Verfahren zum Feedback seitens der Mitglie-
der sowie einem erweiterten Umfeld von Stakeholdern eine
stattliche Sammlung an Kritik beziehungsweise an Vorschlä-
gen. Auf die Frage „Wo kneift es?“ gab es somit eine Antwort.
Den „DFN-Style“ finden
Gleichzeitig begann eine Diskussion zu der Frage, woran wir
die Qualität einer neuen Entgeltordnung bewerten wollen.
Diese Diskussion führte schnell zu einer vielschichtigen Be-
griffswelt: „Fair, solidarisch, bedarfsgerecht“ – ist das alles,
und was heißt das? Und wie kann aus diesen Begriffen ein
DFN-Style geformt werden?
Was von Dritten vielleicht als ein Selbstfindungstrip belächelt
werden könnte, war im Kern ein wichtiger Willensbildungs-
prozess, der auch für die Zukunft des DFN-Vereins wortwört-
lich Maßstäbe gesetzt hat. So wurden insgesamt neun Prin-
zipien (siehe Kasten) identifiziert, die eine Entgeltordnung
erfüllen soll und die bei Zielkonflikten abgewogen berück-
sichtigt werden sollen. Mit den Prinzipien war der Style für
den neuen Anzug gesetzt.
Neben dem Bestreben, die komplette Sammlung von Kritik-
punkten zu behandeln und möglichst alle davon zu adressie-
ren, waren die neun Prinzipien die maßgeblichen Leitplanken,
entlang derer nun ein Vorschlag für eine neue Entgeltord-
nung entwickelt werden konnte. Ein weiterer Leitstern war,
dass die Überarbeitung der Regelungen einnahmenneutral
PRINZIPIEN DER NEUEN DFN- ENTGELTORDNUNG
1. Kostendeckend: Eine Entgeltordnung muss zur
mittelfristigen Deckung der Kosten für Betrieb und
Weiterentwicklung der DFN-Dienste führen.
2. Nachvollziehbar: Eine Entgeltordnung soll auf
interpretationsfreie Sachverhalte aufbauen und
möglichst einfach zu verstehen sein.
3. Einfach: Eine Entgeltordnung soll sowohl für die
teilnehmenden Einrichtungen als auch für den
DFN-Verein einfach und mit möglichst geringem
Aufwand anwendbar sein.
4. Bedarfsgerecht: Eine Entgeltordnung soll allen
Einrichtungen eine bedarfsgerechte Teilnahme an
den DFN-Diensten ermöglichen.
5. Fair: Alle teilnehmenden Einrichtungen sollen
von den Vorteilen des gemeinsamen Handelns im
DFN-Verein profitieren und die Verteilung der
Vorteile dabei als angemessen wahrnehmen. Darum
soll die Höhe der Kostenbeteiligung (Entgelt) einer
Einrichtung in einem angemessenen Verhältnis zu
ihrer Nutzung von DFN-Diensten stehen.
6. Solidarisch: Eine Entgeltordnung soll allen
Einrichtungen möglichst einheitliche Bedingungen
zur Teilnahme an DFN-Diensten bieten. So sollen die
Einrichtungen z. B. nicht wegen ihrer Verfasstheit
(z. B. ob Hochschule, Forschungseinrichtung,
Behörde oder gewerbliche Wirtschaft) oder
wegen ihres Standortes bevorzugt oder
benachteiligt werden.
7. Vertretbar: Eine Entgeltordnung soll für alle
Einrichtungen gegenüber ihren Aufsichtsgremien
und Mittelgebern überzeugend vertretbar sein.
8. Strategisch: Eine Entgeltordnung soll die
Zusammenarbeit in der Wissenschaft befördern,
indem ein abgestimmtes Portfolio von laufend
weiterentwickelten DFN-Diensten eine weite
Verbreitung findet.
9. Robust: Eine Entgeltordnung soll Auslegungen von
Regelungen vermeiden, mit denen eine Teilnahme
an DFN-Diensten unter Missachtung dieser
grundlegenden Prinzipien begründet werden
könnte.
10 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
gestaltet werden sollte – die Einnahmen-Situation war ja bereits
mit der Anpassung der Entgelte auf solide Beine gestellt worden.
Patchwork hat ausgedient
Was hat das heutige Entgeltmodell des DFN-Vereins mit der bri-
tischen Verfassung gemeinsam? Es ist nicht an einer Stelle ko-
difiziert, sondern eine Sammlung historischer Entscheidungen
und Auslegungen. (Und am Kopfende des Parlamentes muss ei-
ner sitzen und immer wieder beherzt „order! order!“ rufen.) Hier
ein Beschluss der Mitgliederversammlung, dort ein Beschluss des
Vorstands, garniert mit Interpretationsspielräumen, die ausge-
legt werden müssen – in einem eingeschwungenen und nach in-
nerer Stabilität strebenden Umfeld wie dem DFN-Verein hat das
funktioniert – wie die vergangenen Jahrzehnte zeigten. Wirklich
gut war das aber nicht. Darum hat sich auch recht schnell der
Gedanke geformt als Ergebnis der gegenwärtigen Diskussion,
eine kodifizierte Entgeltordnung zu verfassen, in der alle Rege-
lungen festgehalten sind und die somit alle früheren betreffen-
den Beschlüsse und Interpretationen ersetzt.
Maßgeschneidert
Wie ist der Vorschlag für eine neue Entgeltordnung nun zuge-
schnitten? Die Details liegen der kommenden Mitgliederversamm-
lung in einem ausgearbeiteten Vorschlag vor. An dieser Stelle sol-
len die wichtigsten Eckpunkte beleuchtet werden.
Zunächst einmal: Nicht der ganze Kleiderschrank wird erneu-
ert. Der vorliegende Vorschlag für eine Entgeltordnung befasst
sich nicht mit allen Diensten des DFN-Vereins. Er befasst sich
mit den Schwergewichten. Das sind der Dienst DFNInternet so-
wie die heute in dessen Entgelt mit enthaltenen Dienste DFN-
CERT, DFN-PKI, DFN-AAI, DFNconf, eduroam, DFN-MailSupport,
DFN-Listserv und DFN-DoS-Basisschutz.
WILLENSBILDUNG IM DFN-VEREIN
Abbildung 1: WILLENSBILDUNG IM DFN-VEREIN. Ein Motto des DFN-Vereins ist: „Mitglied sein heißt mitentscheiden“. Das gilt auch für die neue Entgelt-
ordnung des DFN-Vereins. Ein weiteres gutes Argument, nicht nur am Wissenschaftsnetz und den Diensten des DFN-Vereins teilzunehmen, sondern auch
Mitglied im DFN-Verein zu sein.
11WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
Der neue Zuschnitt soll mehr Bewegungsmöglichkeiten bieten.
• Die bisherige Kopplung von Diensten mit einem Anschluss an
das Wissenschaftsnetz soll aufgehoben werden. Zukünftig
soll ein Paket von Diensten auch ohne einen Anschluss an das
Wissenschaftsnetz gebucht werden können. Das Paket soll
die Dienste DFN-CERT, DFN-PKI, DFN-AAI, DFNconf, eduroam,
DFN-MailSupport und DFN-Listserv umfassen.
• Das Verbot einer Weitergabe von Diensten soll gelockert wer-
den. Viele Einrichtungen haben in ihrem lokalen Umfeld einen
Versorgungsauftrag. Mit einer pauschal geregelten Möglich-
keit, in einem begrenzten Umfang DFN-Dienste an satzungs-
gemäß berechtigte Dritte weitergeben zu dürfen, sollen der
Handlungsspielraum der Teilnehmer verbessert und zudem
auch kleinteilige und zeitraubende Abstimmungen mit dem
DFN-Verein vermieden werden. Damit sollen auch die bishe-
rigen Regelungen zur Mitnutzung abgelöst werden.
• Die Versorgung von Gästen soll präzisiert und erweitert
werden, unter anderem um bisherige Unsicherheiten für
Betreiber von Forschungsgroßgeräten auszuräumen.
• Eine neue kleinste Kategorie soll eingerichtet werden. So kön-
nen auch kleinste Einrichtungen bedarfsgerecht am Netz und
an den Diensten teilnehmen. Das Entgelt für diese kleinste
Kategorie soll möglichst gering ausfallen, was zur Folge hat,
dass Teilnehmer in dieser Kategorie nur einfach an das Wis-
senschaftsnetz angebunden werden.
• Beim Dienst DFNInternet soll eine neue Anschlussart einge-
führt werden: der Versorgeranschluss. Mit einem Versorger-
anschluss soll es mehreren Einrichtungen gestattet werden,
gemeinsam einen Anschluss zu beauftragen und dessen Band-
breite in eigener Entscheidung unter sich aufzuteilen. Damit
sollen auch andere betriebliche Verpflichtungen wie zum Bei-
spiel eine präzise Zuordnung von IP-Adressbereichen zu den je-
weils teilnehmenden Einrichtungen, entfallen. Insgesamt soll
so einer mittlerweile veränderten Wissenschaftslandschaft
besser entsprochen werden, bei der verschiedene wissen-
schaftliche Einrichtungen sehr eng in Versorgungsverbün-
den zusammenarbeiten und so technische Grenzen zerfließen.
Der Anzug soll robuster werden.
• Wer das oben genannte Dienstpaket ohne Anschluss buchen
möchte, soll seinen Beitrag zur Kostenumlage nicht frei wäh-
len können. Sein Beitrag soll sich vielmehr nach der Anzahl
seiner Nutzenden bemessen.
• Wer an einem Versorgeranschluss teilnehmen möchte, soll
zusätzlich das Dienstpaket buchen müssen.
• Die bislang tolerierte Möglichkeit, dass Einrichtungen un-
abhängig von der Anzahl ihrer Nutzenden ein Dienstpaket
beauftragen können, soll im Zuge der beabsichtigten Abschaf-
fung der Port-Anschlüsse beendet werden.
• Für die Nutzung von Regel- oder Clusteranschlüssen soll ei-
ne Mindestkategorie eingeführt werden, die pro Teilnehmer
von der Anzahl seiner Nutzenden abhängig sein soll.
Einmal anprobieren bitte!
Ein ausgearbeiteter Vorschlag für eine Entgeltordnung von
DFNInternet, DFN-DoS-Basisschutz und von einem Dienstpaket
liegt vor. Im nächsten Schritt sind die Mitglieder am Zug und
werden sich auf ihrer Versammlung im Dezember 2019 zu die-
sem Vorschlag austauschen. Als Ziel steht weiterhin im Raum,
dass die Mitglieder im Sommer 2020 eine neue Entgeltordnung
beschließen können.
Hat das alles dann viel zu lange gedauert? Drei Jahre seit dem
ersten Befassen mit der Frage der Kostendeckung wären schließ-
lich ein stattlicher Zeitraum. Nun, da mag man geteilter Meinung
sein. Festzuhalten ist, dass eine Organisation wie der DFN-Verein
den intensiven und manchmal auch anstrengenden inneren Dis-
kurs braucht, um bei einem durchaus facettenreichen Thema
wie seiner Finanzierung zu einem Ergebnis zu kommen. In der
Mitgliedschaft gibt es eben auch divergente Interessen und Vor-
stellungen, die im besten Fall alle in einem Konsens berücksich-
tigt sind. Der große Nutzen eines solchen Vorgehens liegt auf der
Hand. Die Mitglieder bestimmen selbst, wohin die weitere Rei-
se geht. Haben sie sich nach reiflicher Überlegung entschieden,
dann sollte der neue Anzug den passenden Style haben, stra-
pazierfähig sein und auch eine ganze Weile lang gut passen. M
Foto © as_seen / Photocase
12 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
AAIplus – ein Zukunfts-konzept für die DFN-AAINach zwölf Jahren kontinuierlichen Wachstums gehört die DFN-AAI zu den
weltweit größten Föderationen. Doch die Größe bringt auch eine Reihe
Herausforderungen mit sich. Dieser Beitrag beschäftigt sich mit den
drängendsten Problemen und zeigt Lösungsansätze auf, die im Rahmen
einer Gesamtstrategie umgesetzt werden sollen.
Text: Wolfgang Pempe (DFN-Verein)
Foto © ASDF / Adobe Stock
13WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
Zwölf Jahre DFN-AAI – eine reine Erfolgsgeschichte?
Im 13. Jahr seit ihrer Entstehung zählt
die DFN-AAI zu den weltweit größten
Föderationen. Doch misst sich der Er-
folg einer Föderation an ihrer Größe?
Was die Qualität des Miteinanders von
Identity Providern (IdP) und Service
Providern (SP) angeht, so erweist sich
die schiere Größe tatsächlich als Risiko-
faktor. Denn die hohe Anzahl an teil-
nehmenden Einrichtungen und Dienst-
anbietern, die IdP und SP betreiben,
führt zwangsläufig zu einer gewissen
Heterogenität, die sich auf unterschied-
lichen Ebenen und in unterschiedlichen
Aspekten manifestiert. Hierzu gehören:
• Prozesse und technische Systeme, die
an den Einrichtungen für das Identity
Management etabliert worden sind,
• Ressourcen und technische Kenntnis-
se, die bei der Konfiguration und dem
Betrieb der technischen AAI-Kompo-
nenten (IdP, SP) zum Einsatz kommen,
• die Auslegung der Datenschutzgeset-
ze und die daraus resultierende Defini-
tion lokaler Richtlinien und Prozesse,
die wiederum bei der Attributfreigabe
am IdP zum Tragen kommen,
• das Bewusstsein für die Risiken, die
mit der Teilnahme und dem Betrieb
technischer Komponenten in einer
AAI verbunden sind,
• die Anforderungen an Nutzerda-
ten und deren Qualität seitens der
SP-Betreiber.
Diese Liste ließe sich noch weiter fortfüh-
ren, umfasst aber die wichtigsten Aspekte,
die uns im Folgenden beschäftigen wer-
den: Attributfreigabe, Verlässlichkeit /Le-
vels of Assurance und Sicherheit. Und nicht
zuletzt muss sich auch der DFN-Verein als
AAI-Betreiber an die eigene Nase fassen
und die Qualität des Dienstes selbstkri-
tisch hinterfragen.
Die Lösungsansätze für diese Bereiche sol-
len in das Gesamtkonzept „AAIplus“ ein-
fließen, dessen Ziel es ist, die DFN-AAI zu-
kunftssicher zu gestalten.
Attributfreigabe und Datenschutz
Problembeschreibung
Dienstanbieter in der DFN-AAI betreiben ei-
nen oder mehrere Service Provider, die den
Zugriff auf die jeweiligen Dienste und Res-
sourcen kontrollieren bzw. ermöglichen.
Damit Endnutzer auf diese Dienste zugrei-
fen können, müssen vom IdP der Heimat-
einrichtung neben der
Information, dass eine
Authentisierung erfolg-
te, in der Regel weite-
re Angaben (Attribu-
te) an einen SP über-
tragen werden, die
zur Nutzung des jewei-
ligen Dienstes erforder-
lich sind (Personalisie-
rung, Autorisierung). Häufig enthalten die
übertragenen Attribute personenbezoge-
ne oder personenbeziehbare Daten.
Die überwiegende Mehrzahl der in der
DFN-AAI angemeldeten Identity Provider
(IdP) verfügt über ein sogenanntes User-
Consent -Modul, mit dessen Hilfe die End-
nutzer je nach Anwendungsfall
• ihre Einwilligung zur Übertragung von
personenbezogenen oder -beziehba-
ren Daten an einen Online-Dienst (Ser-
vice Provider/SP) geben können (EU-
DSGVO Art. 6.1 lit. a),
• über andere Rechtsgrundlagen bzw.
Erlaubnisgründe sowie gegebenen-
falls ihr Widerspruchsrecht in Kennt-
nis gesetzt werden (Art. 6.1 lit. e/f oder
Art. 88 i.V.m. § 26 BDSG),
• über die Datenschutzerklärungen der
verantwortlichen Stellen für IdP und
SP informiert werden.
Insofern ist eine datenschutzkonforme
Attributfreigabe und -übertragung prin-
zipiell möglich [FSRecht2018]. Ungeach-
tet dessen vertreten viele IdP-Betreiber den
Standpunkt, die Nutzer schützen zu müs-
sen, indem sie an die meisten SP grund-
sätzlich keine Attribute übertragen. Das
geschieht möglicherweise aus Unkennt-
nis über die oben erwähnten Ergebnisse
oder aufgrund von Anweisungen der ört-
lichen Datenschutzbeauftragten oder des
Justiziariats. Selbst auf die Bitte mancher
Service Provider, die vom Dienst benötig-
ten Attribute freizugeben, wird oftmals
zögerlich oder gar nicht reagiert. In man-
chen Fällen fordern die IdP-Betreiber von
Dienstanbietern trotz online verfügbarer
und in den SP-Metada-
ten verlinkten Daten-
schutzerklärungen so-
gar eine schriftliche Er-
klärung, welche Attri-
bute warum benötigt
werden. Erst wenn der
oder die lokale Daten-
schutzbeauftragte sei-
ne/ihre Zustimmung
erteilt hat, erfolgt die Freischaltung der
Attribute. Dass dieses Verfahren weder
innerhalb der DFN-AAI mit derzeit über
500 nicht-lokalen SP noch international
– über eduGAIN sind derzeit etwa 2500
SP verfügbar – skaliert, steht außer Fra-
ge. Befördert wird diese übervorsichtige
Grundhaltung durch das Verhalten einiger
weniger Dienstanbieter, die in der Vergan-
genheit zunächst mehr Attribute einfor-
derten als zur Nutzung des betreffenden
Dienstes tatsächlich erforderlich waren.
So wurde fallweise der Grundsatz der Da-
tensparsamkeit missachtet.
Risiken
Bevor sie mit jeder relevanten Heimatein-
richtung mühsam verhandeln und gegebe-
nenfalls die Attributfreigabe wie beispiels-
weise eine E-Mail-Adresse schriftlich be-
antragen, wissen sich viele Dienstanbie-
ter nicht anders zu helfen, als alternativ
zum Föderations-Login die Anmeldung
über Google und/oder Facebook anzu-
bieten. Ein Angebot, das die vom restrik-
tiven Verhalten ihrer Heimateinrichtung
genervten Endnutzer üblicherweise ger-
ne annehmen. Ein prominentes Beispiel
„Häufig enthalten
die übertragenen
Attribute personen-
bezogene Daten“
14 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
für diese Lösung ist LIGO (Laser Interfe-
rometer Gravitational-Wave Observatory).
In einem anderen Fall erhielt eine Person,
die Zugriff auf einen von CLARIN (European
Research Infrastructure for Language Re-
sources and Technolo-
gy) betriebenen SP be-
nötigte, sich aber auf-
grund fehlender Attri-
bute nicht anmelden
konnte, kurzerhand
einen Account an dem
von CLARIN betriebe-
nen Gast-IdP. Der IdP
der Hochschule, die von CLARIN einen
schriftlichen Antrag zur Attributfreigabe
verlangt hatte, wurde „geblacklistet“, d. h.,
die von CLARIN betriebenen SP führen die-
se Hochschule nicht mehr im Dialog zur
Einrichtungsauswahl (Discovery Service).
Viele große Forschungscommunitys und
-gemeinschaften haben in den vergange-
nen Jahren erheblichen Aufwand mit der
Errichtung eigener Authentifizierungs-
und Autorisierungs-Infrastrukturen be-
trieben, die jeweils über eine wohldefi-
nierte Schnittstelle mit einer der natio-
nalen akademischen Föderationen ver-
bunden sind. Als Modell dient hier in der
Regel die AARC Blueprint Architecture.
Wenn die Schnittstelle zu einer akademi-
schen Föderation nicht funktioniert, steht
zu erwarten, dass Communities zukünftig
vollständig ihr eigenes Identity Manage-
ment mit jeweils eige-
nen Anmeldediensten
betreiben. Bei anderen
Dienstanbietern, insbe-
sondere aus dem kom-
merziellen Bereich, ist
zu befürchten, dass sie
ausschließlich auf „So-
cial Login“ setzen, also
Anmeldung via Google, Facebook, LinkedIn
und Konsorten. Die Identity Provider der
Heimateinrichtungen werden unter sol-
chen Bedingungen dann nur noch für lo-
kale oder allenfalls Landesdienste genutzt.
Letztendlich bedeutet eine solche Situ-
ation das Ende akademischer Föderatio-
nen beziehungsweise macht diese schlicht
überflüssig.
Lösungsansatz
Gemeinsam mit dem Team der DFN-AAI hat
eine Gruppe von IdP-Betreibern folgenden
Lösungsansatz erarbeitet:
Innerhalb der DFN-AAI soll eine virtuel-
le Subföderation geschaffen werden, in
der ein besonderes Vertrauensniveau ge-
währleistet wird. SP-Betreiber lassen sich
von einer noch zu benennenden Instanz
bezüglich der benötigten Attribute (oder
generell datenschutzrechtlich) auditieren
und erhalten im Gegenzug von den teil-
nehmenden IdP ohne weitere Nachfragen
oder Verhandlungen die Zusicherung, alle
benötigten Attribute zu erhalten.
Im Rahmen eines solchen Audits wird der
minimale Attributsatz festgelegt, der zur
Nutzung des Dienstes erforderlich ist. Da-
ten für darüber hinausgehende Features
müssen gegebenenfalls getrennt abfrag-
bar sein. Dadurch soll allen Endnutzern ei-
ne möglichst datensparsame Dienstnut-
zung ermöglicht werden.
Die auditierten Attribute werden in der
DFN-AAI-Metadatenverwaltung für den be-
treffenden SP deklariert und können nur
im Rahmen eines erneuten Audits geän-
dert werden. Der DFN-Verein unterstützt
die Teilnehmer, sowohl SP- als auch IdP-Be-
treiber, mit Best Practice-Empfehlungen
hinsichtlich der Verwendung von Attribu-
ten, insbesondere was die Wahl der Attri-
bute zur Personalisierung von Diensten
angeht, also Name Identifier und funkti-
onsanaloge Attribute.
An der vorgeschlagenen Subföderation teil-
nehmende Identity Provider müssen in der
Lage sein, die vom DFN-Verein empfohle-
nen Attribute zu generieren. Die IdP-Betrei-
ber verpflichten sich, die für den jeweiligen
SP als erforderlich deklarierten Attribute
automatisch freizugeben. Die letztendliche
Übertragung der Attribute wird dann von
Endnutzern über das User-Consent -Modul
im IdP gesteuert. Fälle, in denen andere Er-
laubnisgründe als EU-DSGVO Art. 6.1 lit. a)
vorliegen, sind hier nicht relevant, da die
Attributfreigabe im Interesse der eigenen
Heimateinrichtung erfolgt.
Letztendlich dient dieses Verfahren als
Ersatz für die oben beschriebene Praxis
Erfolg verpflichtet: Wolfgang Pempe (DFN) informiert die Community über den aktuellen Stand der DFN-AAI.
Foto © Maimona Id/DFN-Verein
„Bei anderen Dienstan-
bietern ist zu befürchten,
dass sie ausschließlich
auf „Social Login“ setzen“
15WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
mancher Hochschulen, von SP-Betreibern
schriftliche Anträge für die Attributfrei-
gabe einzufordern.
Die Details dazu, ins-
besondere des Audits,
werden derzeit ausge-
arbeitet. Weiterhin gilt
es, Feedback seitens
der Datenschutzbe-
auftragten in den be-
troffenen Einrichtun-
gen einzuholen. Ohne
deren Unterstützung würde die ganze Vor-
gehensweise keinen Sinn machen. Erste po-
sitive Rückmeldungen liegen bereits vor.
Mit der Einführung des Verfahrens ist Mit-
te 2020 zu rechnen.
Verlässlichkeit von Nutzer-daten, Levels of Assurance
Problembeschreibung
Einige Jahre nach dem Start der DFN-AAI
zeichnete es sich ab, dass nicht alle Heimat-
einrichtungen die damals zur Teilnahme an
der DFN-AAI erforderlichen Voraussetzun-
gen hinsichtlich der Qualität des Identity
Managements und der Verlässlichkeit der
Nutzerdaten erfüllen konnten. Um auch
diesen Einrichtungen die Teilnahme an der
DFN-AAI zu ermöglichen, wurde für die Pro-
duktiv-Föderation eine weitere Verlässlich-
keitsklasse „Basic“ definiert. Die bisherigen
Anforderungen erhielten das Label „Ad-
vanced“. Seitdem können SP-Betreiber ent-
scheiden, ob sie nur mit IdP der Teilmenge
„Advanced“ zusammenarbeiten möchten
oder auch mit „Basic“-IdP.
Laut Dienstvereinbarung werden die teil-
nehmenden Einrichtungen in ihrer Rolle
als IdP-Betreiber dazu verpflichtet, den IdP
einer Verlässlichkeitsklasse zuzuordnen
und die damit verbundenen Mindestanfor-
derungen sicherzustellen. Eine Kontrolle
seitens des DFN-Vereins erfolgt nicht. Wäh-
rend viele Einrichtungen diese Selbstver-
pflichtung sehr ernst nehmen, gibt es leider
einige schwarze Schafe, die die oben ge-
nannte Selbstverpflichtung nicht berück-
sichtigen . An der DFN-AAI-Hotline hört man
schon mal Aussagen wie diese: „Das mit
den Verlässlichkeitsklassen ist doch alles
Quatsch! Wir wollen
Springerlink nutzen,
deshalb ist unser IdP
„Advanced“. In solchen
Fällen folgt dann stets
ein sehr ernstes Bera-
tungsgespräch. Andere
Aussagen sind zwar we-
niger dramatisch, stim-
men aber ebenfalls be-
denklich: „Ich wüsste bei uns im Haus kei-
ne zeichnungsberechtigte Person, die in
der Lage wäre, die Qualität des Identity
Managements zu bestätigen.“ Auf der an-
deren Seite drängt sich bisweilen der Ver-
dacht auf, dass nicht alle SP-Betreiber die
Dokumentation der Verlässlichkeitsklas-
sen in der DFN-AAI zur Kenntnis genom-
men haben. Insbesondere bei SP, die an-
sonsten auch in Föderationen teilnehmen,
in denen keine diesbezüglichen Standards
definiert sind, scheint die Beschränkung
auf „Advanced“-IdP innerhalb der DFN-AAI
zumindest fraglich.
Risiken
Im Gegensatz zum „Social Login“ via Google
& Co bietet ein „Academic Login“ über den
IdP der Heimateinrichtung den entschei-
denden Vorteil, dass die Identitäten bei
der Registrierung im Identity Management
System der Hochschule einer gründlichen
Überprüfung unterzogen werden und so-
mit deutlich verlässlicher sind, als dies in
sozialen Netzwerken der Fall ist. Ein echtes
Alleinstellungsmerkmal eines „Academic“
gegenüber „Social Login“ stellt die Über-
tragung der „Affiliation“ dar, also die Art
der Zugehörigkeit zur jeweiligen Heimat-
einrichtung. Hierfür existiert ein interna-
tional anerkanntes, kontrolliertes Voka-
bular („student“, „staff“, „faculty“, „mem-
ber“, etc.), das SP-seitig für Autorisierungs-
entscheidungen ausgewertet wird und so
der Zugriffskontrolle auf bestimmte ge-
schützte Ressourcen dient. Diese Vortei-
le machen einen „Academic“ beziehungs-
weise AAI-Login für Dienstanbieter insbe-
sondere im Forschungsumfeld zum Mit-
tel der Wahl. Wenn diese Angaben aber
nicht stimmen und sich der Dienstanbie-
ter nicht auf deren Korrektheit verlassen
kann, hat er ein ernsthaftes Problem. Be-
rechtigungen für den Zugriff auf beispiels-
weise ein Experiment (Hochenergiephy-
sik) oder auf vertrauliche Forschungsda-
ten (Medizin, Life Sciences) werden letzt-
endlich auf der Basis von Informationen
vergeben, die vom IdP der jeweiligen Hei-
mateinrichtung übertragen werden. Die-
se Angaben, insbesondere die sogenann-
te Affiliation, müssen stets korrekt sein
und etwaige Änderungen möglichst zeit-
nah propagiert werden. Fälle, bei denen
beispielsweise ehemalige Mitarbeiterin-
nen oder Mitarbeiter in einer Einrichtung
noch monatelang auf geschützte Ressour-
cen zugreifen können, weil Statusänderun-
gen nur zeitversetzt in das IdM gelangen
und erst dann für den IdP verfügbar wer-
den, gilt es zu vermeiden.
Lösungsansatz
Ziel ist, die Zuordnung zu einer Verläss-
lichkeitsklasse verbindlicher zu gestalten.
Der aktuelle Planungsstand sieht vor, dass
die in der Dienstvereinbarung genannten
Ansprechpartner künftig neben den Me-
tadaten-Administratoren auch eine oder
mehrere Personen als Ansprechpartner für
Fragen des Identity Managements an der
betreffenden Einrichtung benennen. Die-
se IdM-Ansprechpartner sollen angehalten
werden, in noch festzulegenden Intervallen
einen Online-Fragebogen zum Thema Iden-
tity Management auszufüllen und an den
DFN-Verein weiterzuleiten. Anhand dieser
Angaben erfolgt dann die Zuordnung zu
einer Verlässlichkeitsklasse beziehungs-
weise zu analogen Kategorien im REFEDS
Assurance Framework.
Die bestehenden Verlässlichkeitsklassen in
der DFN-AAI sollen mittelfristig durch das
REFEDS Assurance Framework [REFEDSAs-
surance] abgelöst werden. Während die
Verlässlichkeitsklassen in der DFN-AAI tech-
nisch über zwei Metadatensätze definiert
sind, zwischen denen SP-Betreiber auswäh-
len können, werden im REFEDS Assurance
„Weiterhin gilt es, Feed-
back seitens der Daten-
schutzbeauftragten in
den betroffenen Einrich-
tungen einzuholen“
16 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Framework die relevanten Informationen
in Form von Attributen übertragen. Hierbei
werden die folgenden Aspekte behandelt:
• Identifier uniqueness
• Identity proofing and credential
issuance, renewal and replacement
• Attribute quality and freshness
SP-Betreiber müssen anhand der übertra-
genen Attributwerte die für sie relevanten
Informationen auswerten. Auf diese Wei-
se wird das Bewusstsein für die Relevanz
von Verlässlichkeitsinformationen bezie-
hungsweise Levels of Assurance auch auf
SP-Seite geschärft. Ein oftmals vom Bauch-
gefühl gesteuertes Hin- und Herschalten
zwischen Metadatensätzen wird somit
obsolet. Dieser Ansatz funktioniert aber
nur, wenn er auf breiter Basis von den an
der DFN-AAI teilnehmenden IdP umge-
setzt wird. Hierzu wird der DFN-Verein
bis Jahres ende ausführliche Konfigurati-
onsbeispiele und Richtlinien bereitstel-
len. Weiterhin wird das Thema in zukünf-
tigen Shibboleth- und AAI-Workshops be-
handelt werden.
Sicherheit, Umgang mit Vorfällen und Angriffen
Problembeschreibung
Mit der Teilnehmerzahl der Föderation und
der zunehmenden internationalen Vernet-
zung (eduGAIN) vergrößert sich auch die
Angriffsfläche für Identitätsdiebstahl, für
Hacking von Service Providern und An-
griffe auf von der Föderation betriebene
Infrastrukturkomponenten.
Risiken
Es ist von mindestens drei Gefährdungs-
szenarien auszugehen:
• IdP: Bei Identity Providern liegt das Ri-
siko beim Identitätsdiebstahl. Bereits
ein gehackter User-Account kann, ent-
sprechende Berechtigungen voraus-
gesetzt, großen Schaden anrichten.
Beispiele sind der Diebstahl von For-
schungsdaten oder der Missbrauch
von hochschulinternen Diensten (z. B.
SAP-Systeme).
• SP: Bei Service Providern besteht die
Gefahr des Diebstahls von dienstlo-
kalen Forschungs- und/oder Nutzer-
daten.
• Föderation: Durch Hacking können in
der Metadatenverwaltung unter an-
derem Manipulationen an den Föde-
rationsmetadaten vorgenommen wer-
den. Im schlimmsten Fall kann durch
einen Hacking-Angriff der gesam-
te Föderationsbetrieb zum Erliegen
kommen.
Lösungsansatz
Um im AAI-Umfeld schnellstmöglich auf
Sicherheitsvorfälle reagieren zu können
und deren Folgen so weit wie möglich ein-
zudämmen, wurde bereits 2015 auf inter-
nationaler Ebene das „Sirtfi Framework“
etabliert. „Sirtfi“ steht für „Security Inci-
dent Response Trust Framework for Fede-
rated Identity“ [Sirtfi], das seit 2016 auch
innerhalb der DFN-AAI unterstützt und
propagiert wird. Seither wird in den IdP-/
SP-Metadaten die Angabe einer Kontakt-
adresse für Sicherheitsvorfälle erwartet.
Die Konformität mit Sirtfi wird metada-
tentechnisch anhand eines Entity Attri-
buts (auch als „Trust Mark“ bezeichnet)
modelliert, das nach Prüfung der Voraus-
setzungen von Föderationsseite gesetzt
wird. Manche SP-Betreiber wie die Großfor-
schungseinrichtung CERN lassen nur An-
meldungen über IdP zu, bei denen dieses
Entity-Attribut gesetzt ist. Sirtfi definiert
einen Katalog von Voraussetzungen, die
gegeben sein müssen, um volle Konformi-
tät zu erlangen. Der Katalog umfasst Kri-
terien unter anderem aus den Bereichen
Betriebssicherheit (Operational Security),
Incident Response und Traceability.
Im Bereich Incident Response erfolgt eine
enge Kooperation mit dem DFN-CERT,
dessen Incident Response Team auch AAI-
spezifische Zwischenfälle betreut.
Derzeit (Stand Oktober 2019) nehmen ledig-
lich etwa zehn Prozent der Identity Provi-
der und zwei Prozent der Service Provider
in der DFN-AAI an Sirtfi teil. Hier muss der
„Fälle, bei denen
ehemalige Mitarbeiter
noch monatelang auf
geschützte Ressourcen
zugreifen können, gilt es
zu vermeiden“
Invitingnew vector of
attack
Uncertainty in security
capability of participants
Lack of trust
Organisations are choosing to opt out of eduGAIN, or block authentication, due to lack of trust.
+ =Ursachen von Vertrauensverlust
17WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
DFN-Verein in stärkerem Maße als bisher
darauf hinwirken, sowohl das Bewusstsein
für die Sicherheitsproblematik zu schär-
fen, als auch die Teilnehmer beratend bei
der Erfüllung der notwendigen Kriterien
zu unterstützen. Dies kann nur gemein-
sam mit dem DFN Security Team und dem
DFN-CERT geschehen.
Erfreulicherweise sind mittlerweile unab-
hängig von Sirtfi Sicherheitskontakte für
die überwiegende Mehrheit der IdP und
mehr als die Hälfte aller SP in den Meta-
daten hinterlegt. Diese Angaben sollen
zukünftig regelmäßig im Rahmen von
Test-Alarmen überprüft werden, um si-
cherzustellen, dass sie stets aktuell sind.
Qualität des Föderations- betriebs
Problembeschreibung
Auch auf Seiten des Föderationsbetreibers
besteht Optimierungsbedarf. Die Metada-
tenverwaltung ist in die Jahre gekommen
und entspricht längst nicht mehr den ak-
tuellen Anforderungen hinsichtlich Nutzer-
freundlichkeit und Portabilität. Die Pflege
und Weiterentwicklung des in über zwölf
Jahren gewachsenen Quellcodes erweist
sich als zunehmend aufwendig. Bereits
mehrfach wurde der Wunsch nach einer
REST-basierten Schnittstelle zur automati-
sierten Pflege von Metadaten geäußert. Mit
OpenID Connect existiert seit einiger Zeit
ein weiterer AAI-relevanter Standard, den es
zukünftig neben SAML zu unterstützen gilt.
Weitere wichtige Punkte sind die Verfüg-
barkeit der technischen Infrastruktur
und der technische Support. Eine wich-
tige Baustelle ist in diesem Zusammen-
hang auch die technische Dokumen-
tation, die in manchen Bereichen nur
einsprachig vorliegt. Mit zunehmender
internationaler Vernetzung sollte zu-
mindest für die Kernbereiche der Doku-
mentation auch eine englische Version
vorgehalten werden.
Risiken
Die technischen Hürden für die Teilnah-
me an einer Föderation wie der DFN-AAI
AAIplus
Sicherheit Vertrauen Qualität
IdP • Betriebs- und
• Informationssicherheit
(u.a. aktuelle Software)
• Incident Response
Attributfreigabe IdM-Prozesse
SP Datenschutz-Audit SP-Nutzung
FO PoliciesMetadatenverwaltung, Support,Dokumentation
StandardsSirtfi, REFEDS Assurance Framework, SAML, OIDC, …
Best Practices
Das Konzept auf einen Blick. (FO = Federation Operator/Föderationsbetreiber)
SP
SP
IdP
SP
Federation 1
SP
SP
SP
SP
IdPIdP
Federation 2
SP
SP
IdP
SP
Federation 3
IdP
All i need is one account ...
Angriffsszenario: Ein gehackter Account reicht, um über eduGAIN auf geschützte Ressourcen
zuzugreifen
Co
mm
un
ity
18 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
sind bereits sehr hoch. Der Föderationsbetreiber soll-
te alles in seiner Macht Stehende unternehmen, um
den Prozess der Teilnahme und den Verbleib in der Fö-
deration so einfach und überschaubar wie möglich zu
halten. Ansonsten besteht die Gefahr, dass potenziel-
le Teilnehmer in parallele Strukturen abwandern oder
sich sonstigen alternativen Lösungen zuwenden.
Lösungsansatz
Die Programmierung der nächsten Version der Meta-
datenverwaltung der DFN-AAI wird ab dem kommen-
den Jahr am DFN-CERT durch hauptberufliche Soft-
ware-Entwickler erfolgen. Neben dem derzeit maß-
geblichen Standard SAML soll dieser auch OpenID
Connect unterstützen sowie über eine REST-API für
die automatisierte Metadaten-Pflege seitens der teil-
nehmenden Einrichtungen und Dienstanbieter verfü-
gen. Weiterhin ist angedacht, dass das DFN-CERT künf-
tig auch den Betrieb der Metadatenverwaltung über-
nimmt, sodass die DFN-AAI auch hier von den hohen
Sicherheitsstandards des Dienstleisters profitiert.
Bereits im vergangenen Jahr wurde damit begonnen, die
wichtigsten vom DFN-Verein betriebenen technischen
Komponenten in eine neue Infrastruktur zu überführen,
die ein erhöhtes Maß an Ausfallsicherheit und Redundanz
bietet: unter anderem durch die Einführung von Load
Balancern und Datenbank-Clustern sowie redundanten
virtuellen Maschinen. Diese Maßnahmen sind weitge-
hend abgeschlossen. Mit der Verstärkung des DFN-AAI-
Teams konnte die technische Dokumentation über die
vergangenen Monate weiter ausgebaut und um weitere
Themen ergänzt werden. In den nächsten Monaten steht
die Überarbeitung der englischsprachigen Seiten an. Um
eine gleichbleibende Qualität des technischen Supports
zu gewährleisten, sind verschiedene interne Maßnahmen
angedacht, die im Rahmen der neuen DFN-internen Be-
reichsstruktur umgesetzt werden sollen. Hierzu gehört
zum Beispiel die Einführung eines Verhaltenscodex für
den Support von DFN-Diensten. Ein weiterer wichtiger
Punkt ist die Erstellung einer zentralen „Federation Po-
licy“ – ein Dokument, in dem alle wichtigen Regeln für
die Teilnahme an der DFN-AAI zusammengefasst werden.
Bislang liegen diese Informationen verstreut vor. Dazu
gehören unter anderem die Definition der jeweils gül-
tigen Verlässlichkeitsklassen bzw. Levels of Assurance,
die maßgeblichen Technologie-Profile (derzeit SAML, zu-
künftig auch OpenID Connect), Regeln zur Verwendung
von Zertifikaten und das Metadata Registration Practice
Statement.
Fazit und Ausblick
Die oben beschriebenen Probleme und Herausforde-
rungen sind seit Längerem bekannt und mit der Umset-
zung der Lösungsansätze wurde in den meisten Fällen
bereits begonnen. Die Idee aber, die Lösungs ansätze im
Rahmen einer Gesamtstrategie, sozusagen einer Quali-
tätsoffensive „AAIplus“, koordiniert zu verfolgen, wur-
de erst im Rahmen der vergangenen zwei Betriebsta-
gungen geboren. Letztendlich profitieren alle an der
DFN-AAI teilnehmenden Einrichtungen und Dienstan-
bieter von einem gleichbleibend hohen Niveau hinsicht-
lich Verlässlichkeit, Datenschutz, Sicherheit und Stabi-
lität – und am Ende Millionen von Endnutzerinnen und
-nutzern aus dem Bereich Bildung und Forschung. Vor
diesem Hintergrund sind Föderationen wie die DFN-
AAI heute ein unverzichtbarer Bestandteil des akade-
mischen Lebens.
Bei der Qualitätsoffensive „AAIplus“ handelt es sich um
keine Kopfgeburt. Vielmehr wurden Ideen und Inhal-
te aus dem Kreis der Community an das DFN-AAI-Team
herangetragen und einige der Ansätze gemeinsam mit
Vertreterinnen und Vertretern der teilnehmenden Ein-
richtungen und Organisationen entwickelt. Im Laufe der
kommenden Monate sollen die noch offenen Fragen be-
züglich der Lösungsansätze geklärt werden. Ziel ist es,
bis Ende des Jahres gemeinsam eine Roadmap zur Um-
setzung der erforderlichen Maßnahmen zu entwickeln.
Der stete Austausch mit der Community ist der Mo-
tor für die Weiterentwicklung der DFN-AAI. Dieser
Di alog wird fortgeführt und vertieft werden. Ob und in-
wieweit dieser Prozess zukünftig formalisiert werden
kann und soll, steht noch zu prüfen. Letztendlich geht es
darum, gemeinsam die Zukunftsfähigkeit der DFN-AAI
sicherzustellen. M
REFERENZEN[FSRecht2018] M. Mörike, A. Strobel, Datenschutzrechtliche
Analyse das AAI-Verfahrens. Vortrag im AAI-Forum der
69. Betriebstagung
[REFEDSAssurance] https://refeds.org/assurance
[Sirtfi] https://refeds.org/sirtfi
19WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
https://refeds.org/assurancehttps://refeds.org/sirtfi
Heutige Forschung ist geprägt von dis-
ziplinübergreifenden Kooperationen
– nicht selten von mehreren Tausend
Wissenschaftlerinnen und Wissenschaft-
lern, die noch dazu räumlich voneinander
getrennt auf unterschiedlichen Kontinen-
ten arbeiten. Eine sichere und vor allem
stabile Echtzeitkommunikation spielt für
deren reibungslose Zusammenarbeit eine
große Rolle. Virtuelle Hochleistungstele-
fonanlagen in der IP/Cloud-Telefonie und
daran angepasste Kommunikationstools
müssen den Ansprüchen eines „verteilten
Arbeitens“ genügen.
Die Einführung neuer mobiler und browser-
basierter Anwendungen in DFN VoIP-Centrex
bedeutet für die Teilnehmer am Deutschen
Forschungsnetz (DFN) einen Zuwachs an
Flex ibilität und Mobilität: Vom Heimarbeits-
platz bis hin zu „free seating“-Arbeitsplät-
zen können sie das umfangreiche Ange-
bot des Dienstes nutzen. Jedes Endgerät,
ob Smartphone, Tablet oder Desktop-Rech-
ner, ist möglich.
Die neue Anwendungsumgebung kann
ganz einfach personalisiert werden – bei-
spielsweise mit einer Präsenzstatus-Über-
sicht der einzelnen Favoriten. Sie hat ein
intuitives User Interface mit Drag-&-Drop-
sowie Plug-&-Play-Funktionen und ist für
verschiedene Browser verfügbar. So hat
der Nutzer quasi eine vollwertige Tele-
fonanlage, fast schon ein kleines Büro, in
der Tasche und ist in Verbindung mit dem
klassischen Tischtelefon über eine einzige
Festnetznummer überall erreichbar.
DFN VoIP-Centrex macht mobilDFN VoIP-Centrex in neuem Gewand: Ob Telefonkon-
ferenzen, mobile App, Desktop-App oder Faxlösungen
– mit der Weiterentwicklung seines Dienstes kann der
DFN-Verein hinsichtlich Unified Communications (UC)
nun alle Funktionen aus einer Hand in einer einheitli-
chen Anwendungsumgebung anbieten.
Text: Christian Meyer (DFN-Verein)
Illu
stra
tio
n ©
fri
kota
/ iS
tock
20 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Sicherheit wird dabei groß geschrieben: Die
Sprachübertragung ist mit einer Sprach-
verschlüsselung (SRTP) gegen „Mithörer“
abgesichert und verfügt über eine TÜV-
geprüfte sowie ISO-zertifizierte Sprach-
qualität. Die Nutzung der Cloud-Services
genügt höchsten Datenschutzstandards.
Auch verfügt der Dienst dank seiner dop-
pelten Anbindung an das Wissenschafts-
netz X-WiN über eine weitaus höhere Ver-
fügbarkeit als herkömmliche Anlagen.
Mit VoIP-Centrex können Teilnehmer auf
den Betrieb der eigenen TK-Anlage verzich-
ten. Die virtuelle Telefonanlage kann für
mehrere Standorte genutzt werden. Dar-
über hinaus verwenden Teilnehmer stets
die aktuelle Technik mit automatischen Up-
dates. So muss nicht mehr in kosteninten-
sive Wartungsverträge investiert werden.
Wie bei einer vom Teilnehmer lokal be-
triebenen VoIP-TK-Anlage ist die VoIP-
Centrex -Plattform per SIP-Trunking mit
der VoIP-Plattform verbunden, um die Kon-
nektivität innerhalb des Forschungsnetzes
als auch in die öffentlichen Telefonnetze
sicherzustellen. Diese Verbindung sowie
die Verbindungen zu den angebundenen
Endgeräten sind standardmäßig per TLS/
SRTP verschlüsselt.
Bereits 38 Institutionen mit rund 6.000 Ne-
benstellen nutzen DFN VoIP-Centrex. Ge-
rade vor dem Hintergrund der derzeitigen
ISDN-Abschaltung ist VoIP-Centrex eine va-
lide Möglichkeit, die eigene Telefonie auf
die aktuelle Technik zu migrieren. Dank der
neuen Mobilitätsoptionen können kosten-
günstigere Regelungen für Nebenstellen
getroffen werden. M
DFN VoIP-Centrex macht mobil
SIP Trunk
ÖffentlicheTelefonnetze
X-Win
teilnehmende Einrichtung
IP
IP
IP
VoIP-Centrex
VoIP-Plattform
Breakout
Breakin
Bei Fragen kontaktieren Sie
uns bitte unter folgender
Kontaktadresse:
030 884299-9126 oder
Die Portalseite für den
Dienst VoIP-Centrex mit allen
relevanten Dokumentationen
ist erreichbar unter:
https://www.dfn.de/
dienstleistungen/
dfnfernsprechen/
Verbindungen von VoIP-Centrex-Teilnehmern werden über die zentrale im X-WiN befindliche VoIP-Plattform in die öffentlichen Telefonnetze geleitet.
21WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
mailto:[email protected]://www.dfn.de/dienstleistungen/dfnfernsprechen/
Rund 800 Teilnehmer aus Forschung und Lehre nutzen das Wis-
senschaftsnetz und seine Dienste. Ob High Performance Com-
puting (HPC) für aufwendige Simulationsverfahren oder der Ein-
satz von datenintensiver Großforschung wie in der Astronomie
– die Anwender des Deutschen Forschungsnetzes (DFN) sind da-
rauf angewiesen, dass die DFN-Dienste einwandfrei und ausfall-
sicher laufen – und das rund um die Uhr.
Um die Hochverfügbarkeit der Dienste weiter zu optimieren, führ-
te das OS-Team des DFN-Vereins vor einiger Zeit die Virtualisie-
rungsverwaltung Proxmox VE ein. Die Open-Source-Serverplatt-
form basiert auf Debian Linux und unterstützt die Einrichtung
und Verwendung redundanter Speicher- und Netzwerkgeräte. Sie
unterstützt zwei Arten von Virtualisierungen: die vollständige Vir-
tualisierung mit KVM und die Container-basierte Virtualisierung
mit LXC. Proxmox VE verfügt über High-Availability-Cluster, mit
deren Hilfe eine virtuelle Maschine (VM) beim Ausfall eines Hosts
automatisch auf einen anderen HA-Cluster-Knoten migriert wird.
In einem Proxmox-HA-Clusterverbund wird keine Cold- oder
Hot-Standby-Hardware benötigt, da bei Ausfall eines Cluster-
servers dessen VMs oder Container auf die noch vorhandenen
HA-Clusterserver migriert werden. Laufende VMs können mit der
Live-Migration ohne Ausfallzeit von einem Virtualisierungshost
auf einen anderen verschoben werden. Damit wird eine Abhän-
gigkeit von Hardware effizient verringert. So können jederzeit
problemlos Wartungsarbeiten oder Reboots durchgeführt, Pat-
ches eingespielt oder Hardware ausgetauscht werden.
Proxmox VE stellt einen Software-Stack namens „ha-manager“ zur
Verfügung, der für die Ressourcenverwaltung (VMs und Contai-
ner) konfiguriert wird. Er funktioniert wie ein „automatisierter“
Administrator, der Fehler erkennt und im Fehlerfall eigenständig
einen Service-Failover auf einen anderen Knoten durchführt. Der
„ha-manager“ kann auch normale Benutzeranforderungen bearbei-
ten und einen Dienst starten, stoppen, verlagern und migrieren.
Technische Voraussetzungen für Proxmox-HA-Cluster:
• mindestens drei Cluster Nodes (um ein zuverlässiges
Quorum zu erhalten)
• Shared storage für VMs und Container
• Hardware-Redundanz
• zuverlässige Hardware-Komponenten
• Hardware Watchdog (falls nicht verfügbar, wird auf
den Linux-Kernel-Software-Watchdog (Softdog)
zurückgegriffen)
• Multicast muss aktiviert sein
• Hardware-Fencing
Virtualisierungsverwaltung leicht gemacht Als Lösung für die Hochverfügbarkeit und Ausfallsicherheit seiner Server setzt der
DFN-Verein unter anderem die Open-Source-Virtualisierungsverwaltung Proxmox VE ein.
Ihre Funktionen sowie ein automatisierter Clustermanager für die Ressourcenverwaltung
machen die Anwendung für Netzwerk-Administratoren interessant.
Text: Hartmut Pröger (DFN-Verein)
KERNEL-BASED VIRTUAL MACHINE (KVM)Der Open-Source-Hypervisor KVM ist eine Vollvirtualisie-
rungslösung für Linux auf x86-Hardware (mit Virtualisie-
rungserweiterungen Intel VT oder AMD-V). Mit KVM können
mehrere virtuelle Maschinen anhand von unmodifizierten
Linux- oder Windows-Images erstellt werden. KVM ist flexi-
bel und skalierbar, passt sich spezifischen Anforderungen
an und ermöglicht dem Nutzer ausreichend Agilität.
CONTAINER-BASIERTE VIRTUALISIERUNG MIT LXCLXC ist eine Container-basierte Virtualisierung für Linux.
LXC erstellt mehrere sichere, isolierte Linux-Container auf
einem einzigen physikalischen Server, was eine bessere
Auslastung der Server ermöglicht und Anwendungskon-
flikte verhindert.
22 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Hochverfügbarkeit: Wie arbeitet Proxmox HA?
Voraussetzung ist, dass Proxmox HA für
den Virtualisierer in der Konfiguration ak-
tiviert wurde. Wenn ein Knoten aus ver-
schiedenen Gründen nicht mehr reagiert,
wartet Proxmox HA 60 Sekunden, ehe es
den Knoten als fehlerhaft kennzeichnet.
Fencing verhindert, dass Cluster-Dienste
während dieser Zeit online gehen.
Nachdem ein Knoten fehlgeschlagen ist
und sein Fencing erfolgreich war, ver-
sucht der „Cluster Resource Manager“
(CRM), Dienste vom ausgefallenen Kno-
ten in andere Knoten zu verschieben, die
noch online sind.
LXC-Container können nicht live migriert
werden. HA stoppt zuerst alle LXC-Contai-
ner und verschiebt sie dann zum nächs-
ten Knoten.
Die Auswahl der Knoten, auf denen diese
Dienste wiederhergestellt werden, wird von
den Einstellungen der Ressourcengruppe,
der Liste der derzeit aktiven Knoten und ihrer
jeweiligen aktiven Dienstanzahl beeinflusst.
Der CRM erstellt zuerst ein Set, beste-
hend aus den vom Benutzer ausgewähl-
ten Knoten (aus der Gruppeneinstellung)
und den verfügbaren Knoten. Er wählt an-
schließend die Untergruppe von Knoten
mit der höchsten Priorität aus und schließ-
lich den Knoten mit der niedrigsten ak-
tiven Diensteanzahl. Dies verringert das
Risiko einer Überlastung.
Bei einem Knotenausfall verteilt der CRM
Dienste auf die verbleibenden Knoten. Dies
sw2b1-han
Proxmox1 Proxmox2 Proxmox3
sw2b2-han
sw1b1-han nas1-han
sto3-han
2 x 10 GB
2 x 1 GB
2 x 1 GB
2 x 1 GB
2 x 1 GB
2 x 10 GB
2 x 10 GB 2 x 10 GB
2 x 10 GB
2 x 10 GB
2 x 10 GB2 x 10 GB2 x 10 GB2 x 10 GB
VM_1VM_2CT_1
VM_2CT_1VM_3VM_4CT_2
VM_1VM_5VM_6
2 x 10 GB
2 x 10 GB2 x 10 GB
sw1b2-han
SAN HAN (10.0.0.0/24)
LAN Quorum
LAN Quorum
HA-CLUSTER - FAILOVER KONZEPT
PROXMOX CLUSTER FILE SYSTEM (PMXCFS)Proxmox VE verwendet ein eigenes Datenbank-gestütztes Dateisystem zur Spei-
cherung von Konfigurationsdateien, das sogenannte Proxmox Cluster File System
(pmxcfs). Dieses ermöglicht es, die Konfiguration von Tausenden virtuellen Maschi-
nen zu speichern. Durch die Verwendung von corosync werden diese Dateien in
Echtzeit auf allen Cluster-Knoten repliziert. Das Dateisystem speichert alle Daten
in einer persistenten Datenbank auf der Festplatte; eine Kopie der Daten bleibt im
RAM liegen, das zwar nur eine maximale Speichergröße von 30 MB bietet – mehr als
genug für Tausende von VMs. Proxmox VE ist die einzige Virtualisierungsplattform
am Markt mit diesem einzigartigen pmxcfs Cluster-Dateisystem.
23WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
erhöht die Serviceanzahl und kann insbesondere bei kleinen Clus-
tern zu hoher Auslastung führen. Der Cluster sollte so ausge-
legt sein, dass er solche Worst-Case-Szenarien verarbeiten kann.
Wie funktioniert die Benutzerverwaltung?
Proxmox unterstützt mehrere Anmeldemethoden, wie zum Bei-
spiel Microsoft Active Directory, LDAP, Linux PAM oder den in-
tegrierten Proxmox VE Authentication Server. Die Rechte kön-
nen rollen-/benutzerbasiert eingestellt und definiert werden.
Der Root-Benutzer des Systems kann sich jederzeit über den Linux-
PAM-Bereich anmelden und hat uneingeschränkte Administra-
tor-Rechte. Dieser Root-Benutzer kann nicht gelöscht werden,
es können aber Attribute geändert werden.
Jeder Benutzer kann Mitglied mehrerer Gruppen sein. Gruppen
sind die bevorzugte Möglichkeit zum Organisieren von Zugriffs-
berechtigungen, weil dadurch kürzere Zugriffslisten entstehen,
die einfacher zu handhaben sind.
Was hat es mit der Berechtigungsverwaltung auf sich?
Damit ein Benutzer eine Aktion durchführen kann (z. B. das
Auflisten, Ändern oder Löschen von Teilen einer VM-Konfigu-
ration), muss er über die entsprechenden Berechtigungen ver-
fügen. Proxmox VE verwendet ein rollen- und pfadbasiertes
Berechtigungsverwaltungssystem. Durch einen Eintrag in der
Berechtigungstabelle können Benutzer oder Gruppen beim
Zugriff auf ein Objekt oder einen Pfad eine bestimmte Rolle
übernehmen. Das bedeutet, dass eine solche Zugriffsregel als
ein Triple von „Pfad, Benutzer, Rolle“ oder „Pfad, Gruppe, Rol-
le“ dargestellt werden kann, wobei die Rolle einer Gruppe zu-
lässige Aktionen enthält und der Pfad das Ziel dieser Aktionen
darstellt.
Wie funktioniert das Proxmox- Speichermodell?
Das Proxmox-Speichermodell ist sehr flexibel. Die Images von
virtuellen Maschinen können entweder in einem oder mehre-
ren lokalen Speichern oder in einem gemeinsam genutzten Spei-
cher wie NFS oder iSCSI (NAS, SAN) abgelegt werden. Da es keine
Grenzen gibt, können beliebig viele Speicherpools konfiguriert
werden. Alle für Debian Linux verfügbaren Speichertechnolo-
gien sind verwendbar.
Ein Vorteil des Speicherns von VM auf gemeinsam genutztem
Speicher besteht darin, dass laufende VMs ohne Ausfallzeit live
migriert werden können, da alle Virtualisierer im Cluster direk-
ten Zugriff auf die Festplattenimages der VM haben. VM-Image-
Daten müssen nicht kopiert werden, darum ist die Livemigra-
tion sehr schnell.
Proxmox unterstützt folgende Speichermodelle:
ʃ File Level Storage
ZFS (local), NFS, CIFS, GlusterFS, CephFS
ʃ Block Level Storage
LVM, LVM Thin, iSCSI, Ceph/RDB, ZFS over iSCSI
Beim DFN werden die VM-Images zurzeit via NFS auf einem Net-
work Attached Storage (NAS) gespeichert. In Zukunft sollen die
Images jedoch in einem Ceph-Cluster abgelegt werden. Ceph
ist ein verteiltes Dateisystem über mehrere Virtualisierer und
extrem ausfallsicher sowie selbstheilend.
Welche Backup Möglichkeiten gibt es in Proxmox VE?
Es gibt verschiedene Gründe für einen Datenverlust: Virenpro-
gramme, Softwareausfall, Stromausfall, Datenfehler, Hardware-
ausfall, menschliche Fehler etc. Ab der Version Proxmox VE 5.0
sind zwei Backup-Optionen im Lieferumfang enthalten:
ʃ Full Backup: Dadurch wird die gesamte virtuelle Maschine
gesichert.
ʃ Snapshot: Dadurch wird der Zustand einer VM zu einem be-
stimmten Zeitpunkt eingefroren.
Eine Vollsicherung sollte niemals durch Snapshots ersetzt werden.
Für eine Disaster-Recovery-Strategie sind Full Backups angezeigt.
RICH APP MANAGEMENT TOOLProxmox VE ist einfach zu bedienen: Man braucht weder
ein separates Management-Tool noch einen zusätzlichen
Management-Knoten mit riesigen Datenbanken zu instal-
lieren. Dies alles erfolgt über das mitgelieferte Rich-Web-
App-Management-Tool. Mit dem Multi-Master-Tool kann
der gesamte Cluster von jedem beliebigen Cluster-Knoten
aus verwaltet werden. Durch die zentrale webbasierte Ver-
waltungsoberfläche – basierend auf JavaScript Framework
(Ext JS 4) – können fast alle Funktionen einfach vom Web-
GUI aus kontrolliert und History sowie Syslogs der einzel-
nen Knoten permanent überblickt werden. Dazu gehören
auch laufende Backup- oder Restore-Tasks, Live-Migration
oder durch das HA ausgelöste Aktivitäten.
24 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Ein Full Backup ist ein vollständiges, kom-
primiertes Backup einer virtuellen Maschi-
ne einschließlich ihrer Konfigurationsdatei.
Das Full Backup kann lokal auf dem glei-
chen Cluster oder in einem ganz anderen
Proxmox-Cluster wiederhergestellt wer-
den. Da eine Vollsicherung die komplet-
te virtuelle Maschine einschließlich aller
virtuellen Festplatten-Images sichert, ist
es das langsamste Backup-Verfahren. Es
ist auch die sicherste Möglichkeit, da die
Sicherungsdatei nicht von der ursprüng-
lichen VM abhängig ist. Zwei der wich-
tigsten Komponenten einer Vollsiche-
rung sind der Backup-Modus und die
Komprimierungsstufe.
Es stehen drei Backup-Modi, die unter-
schiedliche Datensicherheit und Geschwin-
digkeit bieten, zur Verfügung:
• Snapshot-Modus: ein Snapshot für
ein Voll-Backup, bekannt auch als Live
Backup. Da eine Sicherung bei laufen-
der VM erfolgt, gibt es zwar keine Aus-
fallzeiten, damit aber auch die längs-
te Backup-Zeit. In seltenen Fällen kön-
nen bei Live Backups Sicherungsfeh-
ler aufgrund von File Locks entstehen.
• Suspend-Modus: In diesem Modus
erfolgt eine Sicherung, nachdem die
VM vorübergehend unterbrochen
oder eingefroren wurde. Daher ist
die Ausfallzeit während eines Back-
ups moderat. Nach Abschluss einer
Sicherung nimmt die VM den regulä-
ren Betrieb wieder auf. Dieser Modus
hat eine geringere Fehlerwahrschein-
lichkeit während einer Sicherung als
der Snapshot-Modus.
• Stop-Modus: In diesem Modus wer-
den laufende VMs automatisch aus-
geschaltet oder gestoppt und nach
abgeschlossener Sicherung wieder
eingeschaltet. Das bietet eine maxi-
male Sicherheit vor Fehlern in der Si-
cherung und ist zudem der schnells-
te Backup-Modus.
Snapshots erfassen oder frieren zu ei-
nem bestimmten Zeitpunkt den Zustand
einer virtuellen Maschine ein. Es handelt
sich hierbei um keine vollständige Siche-
rung einer VM, da die Snapshots von der
ursprünglichen VM abhängig sind. Snap-
shots können an keinen anderen Ort ver-
schoben werden. Sie werden verwendet,
um zu einem früheren Zustand live zurück-
zukehren. Da Snapshots nicht die gesamte
virtuelle Maschine mit Festplatten-Images
sichern, sind sie die schnellste Backup-Op-
tion, um den Zustand der VM zu sichern.
Der Inhalt des RAM wird mitgespeichert.
Auf diese Weise kann auf die frühere VM
genauso zurückgegriffen werden, wie sie
beim Snapshot ausgeführt wurde.
Ein guter Anwendungsfall für einen Snap-
shot ist das Testen von Software oder das
Einspielen von Updates. Vor einer Soft-
wareinstallation oder dem Einspielen von
Updates sollte ein Snapshot erzeugt wer-
den. Wenn bei dem Update oder der Soft-
wareinstallation etwas schief geht, kann
der alte Zustand einfach wiederherge-
stellt werden.
Fazit:
Hochverfügbarkeit hat ihren Preis. Qua-
litativ hochwertige redundante Kompo-
nenten sind zwar teuer, aber die Anschaf-
fung lohnt sich. Für einen störungsfreien
stabilen Betrieb der DFN-Dienste ist eine
Virtualisierungsverwaltung wie Proxmox
VE eine komfortable und unter dem Strich
sehr wartungsfreundliche Lösung, da die
Live-Migration Ausfälle zuverlässig mini-
miert. Die Proxmox Web-GUI gibt einen
Überblick über alle KVM-Gäste, Linux-Con-
tainer und über den gesamten Cluster. Im
Unterschied zu vielen anderen Virtualisie-
rungslösungen muss kein zusätzlicher oder
komplexer Management-Server installiert
werden. Zu erwähnen ist die umfangrei-
che User- und Rechteverwaltung, die die
Zusammenarbeit erheblich erleichtert. M
BRIDGED NETWORKINGProxmox VE verwendet ein Bridged-Networking-Modell. Alle VMs können eine
Bridge teilen, so als ob virtuelle Netzwerk-Kabel von jedem Gast in den gleichen
Switch gingen. Damit die VMs nach außen kommunizieren können, werden Bridges
zu physischen Netzwerkkarten mit einer TCP- / IP-Konfiguration angehängt. Für
zusätzliche Flexibilität sind VLANs (IEEE 802.1Q) und Netzwerk-Bonding/-Aggrega-
tion möglich. Auf diese Weise ist es möglich, komplexe und flexible virtuelle Netz-
werke für die Proxmox VE Hosts zu bauen und die volle Leistung des Linux-Netz-
werk-Stack zu nutzen.
HIGH AVAILABILITY CLUSTERDer Proxmox VE HA Cluster ermöglicht hochverfügbare virtuelle Server. Ist eine
virtuelle Maschine oder ein Container (VM oder CT) als HA konfiguriert und der phy-
sische Host fällt aus oder ist nicht mehr erreichbar, wird die VM nach 60 Sekunden
live auf einen der verbleibenden Proxmox-VE-Cluster-Knoten migriert. Container
werden automatisch heruntergefahren, dann auf einen Proxmox-VE-Cluster-Kno-
ten kopiert und wieder gestartet. Der Proxmox VE HA Cluster basiert auf Linux
HA-Technologie und bietet einen zuverlässigen HA-Service.
25WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |
Vielfalt und Fairness fördern – NHR im VerbundDer von der Gemeinsamen Wissenschaftskonferenz (GWK) eingesetzte Strategieausschuss
für das Nationale Hochleistungsrechnen (NHR) hat in diesem Jahr seine Arbeit aufgenommen.
Im Fokus steht die Vorbereitung eines wettbewerblichen und wissenschaftsgeleiteten Aus-
wahlverfahrens für die Aufnahme von Rechenzentren in einen zukünftigen NHR-Verbund.
Bund und Länder stellen dafür bis zu 62,5 Millionen Euro jährlich zur Verfügung. Im Interview
verrät der Vorsitzende des Strategieausschusses, Dr. Achim Basermann vom Deutschen
Zentrum für Luft- und Raumfahrt (DLR), welche Ziele der NHR-Strategieausschuss verfolgt.
Für ein starkes Hochleistungsrechnen: Dr. Achim Basermann und die beiden Leiterinnen der Geschäftsstelle des Strategieausschusses, Dr. Dörte Sternel und
Dr. Barbara Diederich, bereiten gemeinsam die nächste Sitzung vor. Foto © Maimona Id/DFN-Verein
26 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | FORSCHUNG
Komplexe Problemlösungen sind ohne den Einsatz von High
Performance Computing (HPC) in der Wissenschaft nicht
mehr denkbar. Aber was genau ist Hochleistungsrechnen und
wie grenzt es sich vom Höchstleistungsrechnen ab?
Am Deutschen Zentrum für Luft- und Raumfahrt (DLR) befassen wir
uns beispielsweise mit Kollisionsanalysen für Weltraumschrott,
der für die Trägersysteme von Satelliten kritisch ist. Mithilfe von
Simulationen – mittlerweile auch als dritte Säule der Forschung
bezeichnet – berechnen wir dessen Bahnen und planen danach
unsere Missionen im All. Das erzeugt eine große Menge an Mess-
daten. Mit diesen rechen- und datenintensiven Anwendungen
bewegen wir uns im Bereich von High Performance Computing.
Dazu zählen Höchst- und Hochleistungsrechnen. In Deutschland
stehen an der Spitze in der Ebene 1 drei im Gauss Centre for Su-
percomputing (GSC) vereinigte Institutionen: das Leibniz-Rechen-
zentrum (LRZ) der Bayerischen Akademie der Wissenschaften in
Garching, das Jülich Supercomputing Centre (JSC) des Forschungs-
zentrums Jülich (FZJ) sowie das Höchstleistungsrechenzentrum
Stuttgart (HLRS). Die Performanz geht bis in den 100-PetaFLOPS-,
in naher Zukunft sogar in den ExaFLOPS-Bereich. Zum Hochleis-
tungsrechnen, der Ebene 2, zählen wir die großen Universitäts-
rechenzentren, die in der TeraFLOPS-Leistungsklasse bis zu et-
wa einigen PetaFLOPS liegen. Das sind zum einen hochparalle-
le Supercomputer, zum anderen heterogene Computercluster,
die sowohl verteilt wie im Grid-Computing als auch im lokalen
Verbund organisiert sein können.
Neben der Förderzielgruppe besteht der Unterschied also in
der Leistung?
Nicht nur. Unterschiede zwischen beiden Ebenen gibt es vor al-
lem in der Anwendung: Höchstleistungsrechner sind gut für das
Capability Computing geeignet. Wir reden hier von einzelnen Re-
chenaufgaben und hochkomplexen Simulationen, die extrem
viel Speicher und Prozessoren benötigen. Dagegen handelt es
sich bei den Ebene-2-Rechnern im Wesentlichen um das Capacity
Computing. Das bedeutet das Lösen von Problemen mittels vieler
paralleler Rechenaufgaben mittlerer Komplexität wie Simulati-
onsläufe oder Parameterstudien. Zusätzlich werden diese Rech-
ner auch für Capability Testing eingesetzt. Hier wird getestet,
wie gut Anwendungen skalieren, um diese letztendlich auf die
Höchstleistungsrechner zu übertragen.
Was sind die Herausforderungen beim
Hochleistungsrechnen?
Zuallererst einmal ist es der Anspruch, möglichst vielen Forsche-
rinnen und Forschern deutschlandweit Rechenzeit für die Ebe-
ne-2-Systeme zur Verfügung zu stellen. Der Zugang ist allerdings
begrenzt, viele Anträge werden abgelehnt. Darum ist es wichtig,
diese Systeme möglichst effizient und wirtschaftlich zu nutzen.
Alles andere ist eine riesige Energieverschwendung. Für die gro-
ßen Rechner müsste man eigentlich direkt daneben ein kleines
Kraftwerk bauen, so viel Energie verbrauchen sie. Mittels Per-
formance-Optimierungen können die Anwendungen leistungs-
fähiger und skalierbarer gestaltet werden. Das erhöht die Ener-
gieeffizienz ebenso wie ein stabiler Betrieb. Mit zunehmender
Prozessorzahl steigt nämlich auch die Ausfallwahrscheinlich-
keit. Wir sind ja im extrem parallelen Bereich unterwegs. Früher
hatten wir 16 bis 128 Prozessoren, heute sind es Millionen auf
den größten Systemen. Das Stichwort heißt Resilienz von Hard-
ware und Software. Das System muss robust sein und trotz Aus-
fall verlässlich weiterlaufen. Zur effizienten Nutzung gehört na-
türlich auch, die Systeme möglichst gut auszulasten. Das haben
wir längst noch nicht erreicht.
Auf der einen Seite zu wenig Rechenzeit und auf der anderen
eine geringe Auslastung. Wie hängt das zusammen?
Die Rechenzeit wird durch die Anwendung bestimmt. Diese muss
einen optimalen Algorithmus mit möglichst geringer Komplexi-
tät haben. Die Rechenzeit kann ich beispielsweise dadurch ver-
kürzen, in dem ich Rechenoperationen möglichst parallel laufen
lasse, um so die Aufgaben aufzuteilen. Und ich muss in der Regel
einen Mix aus unterschiedlichen Anwendungen laufen lassen.
Und hier liegt der Hase im Pfeffer: Die Anwendungen sind häu-
fig nicht dafür präpariert, um auf unterschiedlichen Hardware-
systemen zu laufen. Sie können das System, auf dem sie laufen,
nicht optimal nutzen. In einem ungünstigen Fall allokieren sie
beispielsweise 1.000 Prozessoren und nutzen davon die meiste
Zeit nur zehn, die anderen 990 sind somit nicht beschäftigt. Das
führt dazu, dass Simulationen Wochen anstatt Stunden oder Mi-
nuten dauern. Durch die geringe Auslastung und die langen Re-
chenzeiten haben wir einfach zu wenig Rechenressourcen. Durch
ein gezieltes Monitoring der Anwendungen sowie die Entwick-
lung hochskalierbarer Algorithmen kann zusätzlich eine höhe-
re Auslastung der Systeme erreicht werden.
„Hier wird getestet, wie gut
Anwendungen skalieren“
„In einem ungünstigen Fall
allokieren sie beispielsweise 1000
Prozessoren und nutzen davon die
meiste Zeit nur 10“
FORSCHUNG | DFN Mitteilungen Ausgabe 96 | 27
Und das reicht?
Nicht ganz. Ziel ist es, die Anwendungen optimal auf die zur Ver-
fügung stehenden Systeme zu verteilen. Unser Lösungsansatz
ist, im NHR-Verbund Vielfalt zu realisieren. Das heißt, heterogene
Systeme zu fördern und verteilte Kompetenzbereiche aufzubau-
en, die von überall aus in Deutschland genutzt werden können.
Eine wichtige Säule ist hierbei, gezielt Fachpersonal zu fördern
sowie Wissenschaftlerinnen und Wissenschaftler durch Aus- und
Weiterbildung mit Methodenkompetenz im Software- und Perfor-
mance-Engineering auszustatten, insbesondere im Nachwuchs-
bereich. Allein dadurch hoffen wir, die Anzahl der Anwenderin-
nen und Anwender zu erhöhen. Gerade kleinen Fachdisziplinen
wie Geistes- oder Sozialwissenschaften ist noch nicht bewusst,
wie viel Potenzial im Hochleistungsrechnen steckt. Da schlum-
mern noch viele Innovationen. Mit einem länderübergreifenden
einheitlichen und vor allem fairen Zugangsverfahren steigern
wir die Rechenressourcen signifikant und sparen dadurch letzt-
endlich hohe Kosten.
Was heißt denn fair in dem Zusammenhang?
In dieser natio