Mit

teil

un

gen

A

usg

abe

96 |

Dez

emb

er 2

019

mitteilungen

Vielfalt und FairnessNHR im Verbund

Deutsches Forschungsnetz | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | www.dfn.de

MaßgeschneidertEine neue DFN-Entgeltordnung gewinnt Konturen

Erfolg verpfl ichtetDas Zukunftskonzept für die DFN-AAI

http://www.dfn.de

Impressum

Herausgeber: Verein zur Förderung

eines Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, 10178 Berlin

Tel.: 030 - 88 42 99 - 0

Fax: 030 - 88 42 99 - 370

Mail: dfn-verein@dfn.de

Web: www.dfn.de

ISSN 0177-6894

Redaktion: Maimona Id

Lektorat: Angela Lenz

Gestaltung: Labor3 | www.labor3.com

Druck: Druckerei Rüss, Potsdam

© DFN-Verein 12/2019

Fotonachweis

Titelfoto: © chepkoelena / iStockphoto

Seite 6/7 © Koldunov / iStockphoto

Seite 42/43 © BDMcIntosh / iStockphoto

Umschlag Rückseite: © ortodoxfoto / Adobe Stock

mailto:dfn-verein@dfn.dehttp://www.dfn.dehttp://www.labor3.com

Kontinuität und stetige Erneuerung – das sind Begriffe, die mir sehr schnell einfallen,

wenn ich an den DFN-Verein denke. Auch konstruktive Auseinandersetzung und

Lösungsorientierung aller Beteiligten. Aber vielleicht bedingt ja das eine das andere.

25 von den 35 Jahren DFN-Verein konnte ich in verschiedenen Rollen miterleben. Und es ist

der Umgang des DFN-Vereins mit den größeren und großen Herausforderungen, die mir

besonders in Erinnerung geblieben sind. Da sind z. B. die Liberalisierung des IT-Marktes, der

Übergang von G-WiN auf X-WiN, die Entlassung in die wirtschaftliche Selbstständigkeit, die

Bewältigung des immer breiter werdenden Dienstportfolios und die regelmäßige Anpassung

des Tarifmodells.

Im Sommer 2018 musste sich die Mitgliederversammlung mit einer Situation auseinander-

setzen, die seit dem Zeitpunkt der Entlassung des DFN-Vereins in die wirtschaftliche Selbst-

ständigkeit 2004 neu war. Eine Entgeltanhebung für die Dienste DFNInternet und Mitnutzung

ab 2020 war auf Empfehlung des Vorstands und des Verwaltungsrates erforderlich und wurde

beschlossen. Ich gehörte zu denen, die vor einem solchen Beschluss eine Überprüfung für

dringend notwendig hielten: beispielsweise, ob der DFN-Verein Anwender, die DFN-Dienste

durchaus gern nutzten, sich aber den Internetanschluss scheinbar kostengünstig auf anderen

Wegen besorgten, stärker zur Kasse bitten könnte.

Das Ergebnis der Abstimmung war damals die mehrheitliche Zustimmung der Mitgliederver-

sammlung zur Entgelterhöhung, verbunden mit dem Auftrag an den Vorstand, die Nachhaltig-

keit und Zukunftsfähigkeit des bestehenden Entgeltmodells zu prüfen.

Seit gut einem Jahr befasst sich der Verein nun in seinen Gremien, so auch in den letzten beiden

Mitgliederversammlungen, mit den möglichen Konturen einer neuen Entgeltordnung, wie sie

von den Verantwortlichen in dieser Ausgabe der DFN-Mitteilungen zum ersten Mal vorgestellt

wird. Das vorgeschlagene Modell regelt nach meiner Einschätzung Wichtiges im Grundsatz, oh-

ne unnötig kleinteilig zu sein. Vieles ist nun, nach teilweise sehr intensiven Diskussionen, neu

geordnet worden. Und ich bin mir sicher, dass wir bald gemeinsam ein gutes und für alle Seiten

verträgliches Ergebnis erzielen werden.

Günter Springer

Leiter Universitätsrechenzentrum / CIO

Technische Universität Ilmenau

3DFN Mitteilungen Ausgabe 96 |

4

8 10

12

16

13 15

17 17

14

2

6

16 20 21

3 5

7

1

9

Unsere Autoren dieser Ausgabe im Überblick

1 Prof. Dr. Hans-Joachim Bungartz, Technische Universität München (bungartz@in.tum.de);

2 Jochem Pattloch, DFN-Verein (pat@dfn.de); 3 Wolfgang Pempe, DFN-Verein (pempe@dfn.de);

4 Christian Meyer, DFN-Verein (cmeyer@dfn.de); o. Abb. Hartmut Pröger, DFN-Verein (proeger@dfn.de);

5 Maimona Id, DFN-Verein (id@dfn.de); 6 Anja Busch, ZBW (a.busch@zbw.eu); 7 Dr. Jakob Tendel, DFN-Verein

(tendel@dfn.de); 8 Martin Waleczek, DFN-CERT (waleczek@dfn-cert.de); o. Abb. Stefan Kelm, DFN-CERT

(kelm@dfn-cert.de); 9 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 10 Heike Ausserfeld, DFN-Verein

(ausserfeld@dfn.de); 11 Ralf Paffrath, DFN-Verein (paffrath@dfn.de); 12 Rene Schneider, DB Systel GmbH

(rene.schneider@deutschebahn.com); 13 Denise Dittrich, IT Center RWTH Aachen

(dittrich@itc.rwth-aachen.de); 14 Dr. Thomas Eifert, IT Center RWTH Aachen (eifert@itc.rwth-aachen.de);

15 Dr. Thomas Hildmann, Technische Universität Berlin (thomas.hildmann@tu-berlin.de);

16 Johannes Baur, Forschungsstelle Recht im DFN (johannes.baur@uni-muenster.de); 17 Nico Gielen,

Forschungsstelle Recht im DFN (nico.gielen@uni-muenster.de)

11

4 | DFN Mitteilungen Ausgabe 96 | Dezember 2019

mailto:bungartz@in.tum.demailto:pat@dfn.demailto:pempe@dfn.demailto:cmeyer@dfn.demailto:proeger@dfn.demailto:id@dfn.demailto:a.busch@zbw.eumailto:tendel@dfn.demailto:waleczek@dfn-cert.demailto:kelm@dfn-cert.demailto:groeper@dfn.demailto:ausserfeld@dfn.demailto:paffrath@dfn.demailto:rene.schneider@deutschebahn.commailto:dittrich@itc.rwth-aachen.demailto:eifert@itc.rwth-aachen.demailto:thomas.hildmann@tu-berlin.demailto:johannes.baur@uni-muenster.demailto:nico.gielen@uni-muenster.de

Wissenschaftsnetz

Eine neue Entgeltordnung gewinnt Konturen

von Hans-Joachim Bungartz, Jochem Pattloch ................... 8

AAIplus – ein Zukunftskonzept für die DFN-AAI

von Wolfgang Pempe .................................................................. 13

DFN VoIP-Centrex macht mobil

von Christian Meyer .................................................................... 20

Virtualisierungsverwaltung leicht gemacht

von Hartmut Pröger ..................................................................... 22

Forschung

Vielfalt und Fairness fördern – NHR im Verbund

Interview mit Dr. Achim Basermann .................................... 26

GeRDI – disziplinübergreifende

Forschungsdateninfrastruktur von morgen

von Anja Busch, Jakob Tendel .................................................. 30

Sicherheit

Wir sind dabei – European Cyber

Security Month 2019

von Martin Waleczek, Stefan Kelm ........................................ 36

Let’s DFN-PKI!

von Ralf Gröper .............................................................................. 38

Sicherheit aktuell ......................................................................... 41

Campus

Cloud Migration und Transformation der DB Systel

von Rene Schneider ..................................................................... 43

Heiter bis wolkig – Cloud-Dienste an

der RWTH Aachen

von Denise Dittrich, Thomas Eifert ....................................... 46

TUB Collab Cloud – Zusammenarbeit

über Grenzen hinweg

von Thomas Hildmann ................................................................ 49

Recht

Unmaskiert wird abkassiert!

von Johannes Baur ....................................................................... 52

Die Sicherheit unserer Daten

von Nico Gielen .............................................................................. 55

DFN-Verein

DFN unterwegs ............................................................................. 58

DFN live ............................................................................................ 60

Überblick DFN-Verein ................................................................. 63

Mitgliedereinrichtungen .......................................................... 65

Inhalt

5DFN Mitteilungen Ausgabe 96 |

6 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

WissenschaftsnetzEine neue Entgeltordnung gewinnt Konturen

von Hans-Joachim Bungartz, Jochem Pattloch

AAIplus – ein Zukunftskonzept für die DFN-AAI

von Wolfgang Pempe

DFN VoIP-Centrex macht mobil

von Christian Meyer

Virtualisierungsverwaltung leicht gemacht

von Hartmut Pröger

7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

Eine neue Entgeltordnung gewinnt KonturenSeit über 35 Jahren gibt es den DFN-Verein, und von Anfang an brauchte es eine Antwort

auf die Frage: Nach welchen Regeln legen wir die Kosten für Netz und Dienste auf

die teilnehmenden Einrichtungen um? Über Jahrzehnte entstand so eine Vielzahl an

Regelungen, die das heutige Entgeltmodell des DFN-Vereins darstellen. Aber passt

das alles eigentlich gut zusammen? Und ist es noch zeitgemäß? Und was ist eigentlich

ein „gutes“ Entgeltmodell? Eine von den Mitgliedern beauftragte Prüfung soll

Antworten finden.

Text: Hans-Joachim Bungartz, Jochem Pattloch (DFN-Verein)

Foto © Photology1971 / Stock Adobe

„Fair, solidarisch, bedarfsgerecht“ – wenn sich der

DFN-Verein ans Werk macht und das Entgeltmodell

für seine Dienste auf den Prüfstand stellt, dann

sind diese Begriffe schnell in der Diskussion. Aber

was bedeuten sie genau? Und gibt es noch mehr

Prinzipien, auf denen eine Entgeltordnung aufge-

baut sein sollte? Fragen über Fragen, mit denen

sich die Mitglieder immer wieder intensiv ausein-

andergesetzt haben. Und natürlich ist solch eine

Diskussion für die Mitglieder keine leichte Heraus-

forderung, denn neben dem strategischen Blick

für den DFN-Verein als Ganzes schwingt ja immer

auch, mehr oder minder lautstark formuliert, die

Frage mit: „Alles schön und gut mit irgendwelchen

Prinzipien. Aber was heißt das für mein eigenes

Budget?“ Keine leichte Aufgabe also, mit der die

Mitgliederversammlung den Vorstand beauftragt

hat. Aber mittlerweile zeigt sich: Eine neue Ent-

geltordnung gewinnt Konturen!

Warum jetzt?

Die Kostendeckung des DFN-Vereins ist ein ganz

grundlegendes Thema, das regelmäßig behandelt

wird. Ein konkreter Anlass, sich ganz intensiv da-

mit zu befassen, ergab sich aber im April 2017.

So erkannte der Verwaltungsrat damals im Rah-

men seiner strategischen Finanzplanung, dass

8 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

ab dem Jahr 2020 die geplanten Ausgaben nicht

mehr mit den geplanten Einnahmen zu decken

wären. Seitdem der DFN-Verein im Jahr 2004

in die wirtschaftliche Unabhängigkeit entlas-

sen wurde, war das ein Novum. Denn vor al-

lem durch das seinerzeit völlig neu gestaltete

Betriebskonzept des Wissenschaftsnetzes war

ein Grundstein gelegt worden, mit dem dann

die Beschaffungsverfahren für benötige Vor-

leistungen immer wieder zu sehr wirtschaft-

lichen Ergebnissen geführt werden konnten.

So entwickelte sich für viele Jahre das bei al-

len Beteiligten sehr beliebte und irgendwann

auch gewohnheitsmäßig erwartete Szenario:

„Der DFN-Verein steigert die Leistung seiner

Dienste entsprechend der Bedarfe seiner Mit-

glieder und kann dennoch auf eine Erhöhung

der betreffenden Entgelte verzichten.“ Für die

Teilnehmer an den DFN-Diensten bedeutete das

eine komfortable Form von Planungssicherheit,

denn sie brauchten in ihren Häusern keine Aus-

einandersetzungen um steigende Mittelanfor-

derungen für den benötigten Zuwachs an Leis-

tungen führen. Und nun platzte in diesen an-

genehm eingeschwungenen Zustand im April

2017 also die Botschaft: „Achtung! Ab dem Jahr

2020 geht es so nicht weiter.“

Was war passiert? Zunächst einmal hatte sich bei

mehreren Ausgabenpositionen die allgemeine

Preissteigerung über die Jahre bemerkbar akku-

muliert. Ein probates Gegenmittel, nämlich die

ständige Suche nach Optimierungspotenzialen,

war hingegen über die Jahre immer schwieriger

und kleinteiliger geworden. Viele Verbesserun-

gen waren schlicht schon gefunden und umge-

setzt. Aber vor allem: Mit dem Tempo seiner Leis-

tungssteigerungen hatte der DFN-Verein offen-

bar eine Schwelle überschritten, mit dem wich-

tige Lieferanten von Vorprodukten überfordert

schienen. Das zeigte sich besonders schmerz-

lich nach dem 2016 abgeschlossenen Beschaf-

fungsverfahren für das Zugangsnetz, das ins-

gesamt nicht den erwarteten dämpfenden Ef-

fekt auf die betreffenden Ausgaben erzielte. Da

das Zugangsnetz circa ein Drittel der Gesamt-

ausgaben des DFN-Vereins verursacht, war das

ein echtes Problem.

Weichenstellungen

Unter dem Strich war damit klar: Es war an der

Zeit, dass sich der DFN-Verein grundlegend mit

der Kostendeckung des Netzes und seiner Diens-

te befassen muss. Welche Weichenstellungen

waren erforderlich, um auch über 2020 hinaus

den Auftrag der Mitglieder erfüllen zu können?

Ein erster Gedanke, die Steigerung der Leistung

der DFN-Dienste zukünftig nicht mehr am Be-

darf der Mitglieder zu orientieren, war schnell

vom Tisch. Während in der Wissenschaft die di-

gitale Transformation mit hohem Tempo voran-

schreitet und neben kompetitiven auch koope-

rative Facetten hat, bei denen der DFN-Verein

ins Spiel kommt, kann er nicht einfach „Auszeit,

Auszeit“ rufen. Damit würde er ganz schnell –

um in diesem Bild zu bleiben – als relevanter

Player vom Spielfeld verschwinden.

Blieben zwei weitere Optionen: Zunächst sollte

die Suche nach Optimierungspotenzialen neu

gedacht werden, indem auch bislang wertge-

schätzte Positionen auf den Prüfstand gestellt

werden, beispielweise: „Können wir in vertret-

barem Umfang die gegenwärtige Dienstquali-

tät vermindern und damit Investitionen einspa-

ren?“ Eben die typische Controller-Frage (bei der

manche Ingenieure grimmige Gesichter bekom-

men). Wer zu den Mitgliederversammlungen kam,

kennt die Antwort: „Ja, das geht und hat beispiels-

weise die aktuelle Gestaltung der IP-Plattform

mitbestimmt. Es kann aber nicht die ganze Ant-

wort auf unser Problem sein.“ Darum hatte die

Mitgliederversammlung ergänzend beschlos-

sen, die Entgelte für DFNInternet und Mitnut-

zung zum 1. Januar 2020 um 14,5 Prozent zu er-

höhen. Begleitend wurde damit die Planungs-

sicherheit in Aussicht gestellt, die Entgelte für

diese DFN-Dienste bis zum Ende der kommen-

den Dekade nicht mehr anpassen zu müssen.

Die Frage der mittelfristigen Kostendeckung

war damit also ausführlich diskutiert und be-

antwortet. Damit wäre bei diesem Thema doch

alles gut, oder?

Foto © Photology1971 / Stock Adobe

9WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

Maß nehmen

Nicht ganz. Wenn wir schon mal dabei sind, uns grundlegende

Gedanken zur Kostendeckung zu machen, dann sollten wir

uns – nachdem wir über die Anpassung der Höhe der Entgelte

einen breiten Konsens erzielt haben – jetzt auch mal die gel-

tenden Regelungen der Kostenumlage und ihre Umsetzung

anschauen. In diesem Sinne wurde die Diskussion in der Mit-

gliederversammlung fortgesetzt. Salopp formuliert: „Passt der

alte Anzug noch, oder sind wir angesichts des sich schnell wan-

delnden Umfelds mit einem neuen Anzug besser gekleidet?“

Am Anfang stand die Frage: „Wo kneift denn der Anzug?“ Erste

Kritikpunkte am heutigen Entgeltmodell waren schnell bei

der Hand: dass zum Beispiel die gegenwärtigen Regelun-

gen für sehr kleine Einrichtungen nicht bedarfsgerecht sei-

en. Weitere Schwächen ließen sich aufdecken, wenn sie im

kollektiven Bewusstsein der Mitgliedschaft ohnehin schon

länger rumorten. Kniffeliger wurde es hingegen, wenn Posi-

tionen formuliert wurden, in denen sich triftige Kritikpunk-

te mit partikularen Interessen vermischten. Insgesamt war

wichtig: Es muss alles auf den Tisch. Letztendlich ergab ein

ausführliches Verfahren zum Feedback seitens der Mitglie-

der sowie einem erweiterten Umfeld von Stakeholdern eine

stattliche Sammlung an Kritik beziehungsweise an Vorschlä-

gen. Auf die Frage „Wo kneift es?“ gab es somit eine Antwort.

Den „DFN-Style“ finden

Gleichzeitig begann eine Diskussion zu der Frage, woran wir

die Qualität einer neuen Entgeltordnung bewerten wollen.

Diese Diskussion führte schnell zu einer vielschichtigen Be-

griffswelt: „Fair, solidarisch, bedarfsgerecht“ – ist das alles,

und was heißt das? Und wie kann aus diesen Begriffen ein

DFN-Style geformt werden?

Was von Dritten vielleicht als ein Selbstfindungstrip belächelt

werden könnte, war im Kern ein wichtiger Willensbildungs-

prozess, der auch für die Zukunft des DFN-Vereins wortwört-

lich Maßstäbe gesetzt hat. So wurden insgesamt neun Prin-

zipien (siehe Kasten) identifiziert, die eine Entgeltordnung

erfüllen soll und die bei Zielkonflikten abgewogen berück-

sichtigt werden sollen. Mit den Prinzipien war der Style für

den neuen Anzug gesetzt.

Neben dem Bestreben, die komplette Sammlung von Kritik-

punkten zu behandeln und möglichst alle davon zu adressie-

ren, waren die neun Prinzipien die maßgeblichen Leitplanken,

entlang derer nun ein Vorschlag für eine neue Entgeltord-

nung entwickelt werden konnte. Ein weiterer Leitstern war,

dass die Überarbeitung der Regelungen einnahmenneutral

PRINZIPIEN DER NEUEN DFN- ENTGELTORDNUNG

1. Kostendeckend: Eine Entgeltordnung muss zur

mittelfristigen Deckung der Kosten für Betrieb und

Weiterentwicklung der DFN-Dienste führen.

2. Nachvollziehbar: Eine Entgeltordnung soll auf

interpretationsfreie Sachverhalte aufbauen und

möglichst einfach zu verstehen sein.

3. Einfach: Eine Entgeltordnung soll sowohl für die

teilnehmenden Einrichtungen als auch für den

DFN-Verein einfach und mit möglichst geringem

Aufwand anwendbar sein.

4. Bedarfsgerecht: Eine Entgeltordnung soll allen

Einrichtungen eine bedarfsgerechte Teilnahme an

den DFN-Diensten ermöglichen.

5. Fair: Alle teilnehmenden Einrichtungen sollen

von den Vorteilen des gemeinsamen Handelns im

DFN-Verein profitieren und die Verteilung der

Vorteile dabei als angemessen wahrnehmen. Darum

soll die Höhe der Kostenbeteiligung (Entgelt) einer

Einrichtung in einem angemessenen Verhältnis zu

ihrer Nutzung von DFN-Diensten stehen.

6. Solidarisch: Eine Entgeltordnung soll allen

Einrichtungen möglichst einheitliche Bedingungen

zur Teilnahme an DFN-Diensten bieten. So sollen die

Einrichtungen z. B. nicht wegen ihrer Verfasstheit

(z. B. ob Hochschule, Forschungseinrichtung,

Behörde oder gewerbliche Wirtschaft) oder

wegen ihres Standortes bevorzugt oder

benachteiligt werden.

7. Vertretbar: Eine Entgeltordnung soll für alle

Einrichtungen gegenüber ihren Aufsichtsgremien

und Mittelgebern überzeugend vertretbar sein.

8. Strategisch: Eine Entgeltordnung soll die

Zusammenarbeit in der Wissenschaft befördern,

indem ein abgestimmtes Portfolio von laufend

weiterentwickelten DFN-Diensten eine weite

Verbreitung findet.

9. Robust: Eine Entgeltordnung soll Auslegungen von

Regelungen vermeiden, mit denen eine Teilnahme

an DFN-Diensten unter Missachtung dieser

grundlegenden Prinzipien begründet werden

könnte.

10 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

gestaltet werden sollte – die Einnahmen-Situation war ja bereits

mit der Anpassung der Entgelte auf solide Beine gestellt worden.

Patchwork hat ausgedient

Was hat das heutige Entgeltmodell des DFN-Vereins mit der bri-

tischen Verfassung gemeinsam? Es ist nicht an einer Stelle ko-

difiziert, sondern eine Sammlung historischer Entscheidungen

und Auslegungen. (Und am Kopfende des Parlamentes muss ei-

ner sitzen und immer wieder beherzt „order! order!“ rufen.) Hier

ein Beschluss der Mitgliederversammlung, dort ein Beschluss des

Vorstands, garniert mit Interpretationsspielräumen, die ausge-

legt werden müssen – in einem eingeschwungenen und nach in-

nerer Stabilität strebenden Umfeld wie dem DFN-Verein hat das

funktioniert – wie die vergangenen Jahrzehnte zeigten. Wirklich

gut war das aber nicht. Darum hat sich auch recht schnell der

Gedanke geformt als Ergebnis der gegenwärtigen Diskussion,

eine kodifizierte Entgeltordnung zu verfassen, in der alle Rege-

lungen festgehalten sind und die somit alle früheren betreffen-

den Beschlüsse und Interpretationen ersetzt.

Maßgeschneidert

Wie ist der Vorschlag für eine neue Entgeltordnung nun zuge-

schnitten? Die Details liegen der kommenden Mitgliederversamm-

lung in einem ausgearbeiteten Vorschlag vor. An dieser Stelle sol-

len die wichtigsten Eckpunkte beleuchtet werden.

Zunächst einmal: Nicht der ganze Kleiderschrank wird erneu-

ert. Der vorliegende Vorschlag für eine Entgeltordnung befasst

sich nicht mit allen Diensten des DFN-Vereins. Er befasst sich

mit den Schwergewichten. Das sind der Dienst DFNInternet so-

wie die heute in dessen Entgelt mit enthaltenen Dienste DFN-

CERT, DFN-PKI, DFN-AAI, DFNconf, eduroam, DFN-MailSupport,

DFN-Listserv und DFN-DoS-Basisschutz.

WILLENSBILDUNG IM DFN-VEREIN

Abbildung 1: WILLENSBILDUNG IM DFN-VEREIN. Ein Motto des DFN-Vereins ist: „Mitglied sein heißt mitentscheiden“. Das gilt auch für die neue Entgelt-

ordnung des DFN-Vereins. Ein weiteres gutes Argument, nicht nur am Wissenschaftsnetz und den Diensten des DFN-Vereins teilzunehmen, sondern auch

Mitglied im DFN-Verein zu sein.

11WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

Der neue Zuschnitt soll mehr Bewegungsmöglichkeiten bieten.

• Die bisherige Kopplung von Diensten mit einem Anschluss an

das Wissenschaftsnetz soll aufgehoben werden. Zukünftig

soll ein Paket von Diensten auch ohne einen Anschluss an das

Wissenschaftsnetz gebucht werden können. Das Paket soll

die Dienste DFN-CERT, DFN-PKI, DFN-AAI, DFNconf, eduroam,

DFN-MailSupport und DFN-Listserv umfassen.

• Das Verbot einer Weitergabe von Diensten soll gelockert wer-

den. Viele Einrichtungen haben in ihrem lokalen Umfeld einen

Versorgungsauftrag. Mit einer pauschal geregelten Möglich-

keit, in einem begrenzten Umfang DFN-Dienste an satzungs-

gemäß berechtigte Dritte weitergeben zu dürfen, sollen der

Handlungsspielraum der Teilnehmer verbessert und zudem

auch kleinteilige und zeitraubende Abstimmungen mit dem

DFN-Verein vermieden werden. Damit sollen auch die bishe-

rigen Regelungen zur Mitnutzung abgelöst werden.

• Die Versorgung von Gästen soll präzisiert und erweitert

werden, unter anderem um bisherige Unsicherheiten für

Betreiber von Forschungsgroßgeräten auszuräumen.

• Eine neue kleinste Kategorie soll eingerichtet werden. So kön-

nen auch kleinste Einrichtungen bedarfsgerecht am Netz und

an den Diensten teilnehmen. Das Entgelt für diese kleinste

Kategorie soll möglichst gering ausfallen, was zur Folge hat,

dass Teilnehmer in dieser Kategorie nur einfach an das Wis-

senschaftsnetz angebunden werden.

• Beim Dienst DFNInternet soll eine neue Anschlussart einge-

führt werden: der Versorgeranschluss. Mit einem Versorger-

anschluss soll es mehreren Einrichtungen gestattet werden,

gemeinsam einen Anschluss zu beauftragen und dessen Band-

breite in eigener Entscheidung unter sich aufzuteilen. Damit

sollen auch andere betriebliche Verpflichtungen wie zum Bei-

spiel eine präzise Zuordnung von IP-Adressbereichen zu den je-

weils teilnehmenden Einrichtungen, entfallen. Insgesamt soll

so einer mittlerweile veränderten Wissenschaftslandschaft

besser entsprochen werden, bei der verschiedene wissen-

schaftliche Einrichtungen sehr eng in Versorgungsverbün-

den zusammenarbeiten und so technische Grenzen zerfließen.

Der Anzug soll robuster werden.

• Wer das oben genannte Dienstpaket ohne Anschluss buchen

möchte, soll seinen Beitrag zur Kostenumlage nicht frei wäh-

len können. Sein Beitrag soll sich vielmehr nach der Anzahl

seiner Nutzenden bemessen.

• Wer an einem Versorgeranschluss teilnehmen möchte, soll

zusätzlich das Dienstpaket buchen müssen.

• Die bislang tolerierte Möglichkeit, dass Einrichtungen un-

abhängig von der Anzahl ihrer Nutzenden ein Dienstpaket

beauftragen können, soll im Zuge der beabsichtigten Abschaf-

fung der Port-Anschlüsse beendet werden.

• Für die Nutzung von Regel- oder Clusteranschlüssen soll ei-

ne Mindestkategorie eingeführt werden, die pro Teilnehmer

von der Anzahl seiner Nutzenden abhängig sein soll.

Einmal anprobieren bitte!

Ein ausgearbeiteter Vorschlag für eine Entgeltordnung von

DFNInternet, DFN-DoS-Basisschutz und von einem Dienstpaket

liegt vor. Im nächsten Schritt sind die Mitglieder am Zug und

werden sich auf ihrer Versammlung im Dezember 2019 zu die-

sem Vorschlag austauschen. Als Ziel steht weiterhin im Raum,

dass die Mitglieder im Sommer 2020 eine neue Entgeltordnung

beschließen können.

Hat das alles dann viel zu lange gedauert? Drei Jahre seit dem

ersten Befassen mit der Frage der Kostendeckung wären schließ-

lich ein stattlicher Zeitraum. Nun, da mag man geteilter Meinung

sein. Festzuhalten ist, dass eine Organisation wie der DFN-Verein

den intensiven und manchmal auch anstrengenden inneren Dis-

kurs braucht, um bei einem durchaus facettenreichen Thema

wie seiner Finanzierung zu einem Ergebnis zu kommen. In der

Mitgliedschaft gibt es eben auch divergente Interessen und Vor-

stellungen, die im besten Fall alle in einem Konsens berücksich-

tigt sind. Der große Nutzen eines solchen Vorgehens liegt auf der

Hand. Die Mitglieder bestimmen selbst, wohin die weitere Rei-

se geht. Haben sie sich nach reiflicher Überlegung entschieden,

dann sollte der neue Anzug den passenden Style haben, stra-

pazierfähig sein und auch eine ganze Weile lang gut passen. M

Foto © as_seen / Photocase

12 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

AAIplus – ein Zukunfts-konzept für die DFN-AAINach zwölf Jahren kontinuierlichen Wachstums gehört die DFN-AAI zu den

weltweit größten Föderationen. Doch die Größe bringt auch eine Reihe

Herausforderungen mit sich. Dieser Beitrag beschäftigt sich mit den

drängendsten Problemen und zeigt Lösungsansätze auf, die im Rahmen

einer Gesamtstrategie umgesetzt werden sollen.

Text: Wolfgang Pempe (DFN-Verein)

Foto © ASDF / Adobe Stock

13WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

Zwölf Jahre DFN-AAI – eine reine Erfolgsgeschichte?

Im 13. Jahr seit ihrer Entstehung zählt

die DFN-AAI zu den weltweit größten

Föderationen. Doch misst sich der Er-

folg einer Föderation an ihrer Größe?

Was die Qualität des Miteinanders von

Identity Providern (IdP) und Service

Providern (SP) angeht, so erweist sich

die schiere Größe tatsächlich als Risiko-

faktor. Denn die hohe Anzahl an teil-

nehmenden Einrichtungen und Dienst-

anbietern, die IdP und SP betreiben,

führt zwangsläufig zu einer gewissen

Heterogenität, die sich auf unterschied-

lichen Ebenen und in unterschiedlichen

Aspekten manifestiert. Hierzu gehören:

• Prozesse und technische Systeme, die

an den Einrichtungen für das Identity

Management etabliert worden sind,

• Ressourcen und technische Kenntnis-

se, die bei der Konfiguration und dem

Betrieb der technischen AAI-Kompo-

nenten (IdP, SP) zum Einsatz kommen,

• die Auslegung der Datenschutzgeset-

ze und die daraus resultierende Defini-

tion lokaler Richtlinien und Prozesse,

die wiederum bei der Attributfreigabe

am IdP zum Tragen kommen,

• das Bewusstsein für die Risiken, die

mit der Teilnahme und dem Betrieb

technischer Komponenten in einer

AAI verbunden sind,

• die Anforderungen an Nutzerda-

ten und deren Qualität seitens der

SP-Betreiber.

Diese Liste ließe sich noch weiter fortfüh-

ren, umfasst aber die wichtigsten Aspekte,

die uns im Folgenden beschäftigen wer-

den: Attributfreigabe, Verlässlichkeit /Le-

vels of Assurance und Sicherheit. Und nicht

zuletzt muss sich auch der DFN-Verein als

AAI-Betreiber an die eigene Nase fassen

und die Qualität des Dienstes selbstkri-

tisch hinterfragen.

Die Lösungsansätze für diese Bereiche sol-

len in das Gesamtkonzept „AAIplus“ ein-

fließen, dessen Ziel es ist, die DFN-AAI zu-

kunftssicher zu gestalten.

Attributfreigabe und Datenschutz

Problembeschreibung

Dienstanbieter in der DFN-AAI betreiben ei-

nen oder mehrere Service Provider, die den

Zugriff auf die jeweiligen Dienste und Res-

sourcen kontrollieren bzw. ermöglichen.

Damit Endnutzer auf diese Dienste zugrei-

fen können, müssen vom IdP der Heimat-

einrichtung neben der

Information, dass eine

Authentisierung erfolg-

te, in der Regel weite-

re Angaben (Attribu-

te) an einen SP über-

tragen werden, die

zur Nutzung des jewei-

ligen Dienstes erforder-

lich sind (Personalisie-

rung, Autorisierung). Häufig enthalten die

übertragenen Attribute personenbezoge-

ne oder personenbeziehbare Daten.

Die überwiegende Mehrzahl der in der

DFN-AAI angemeldeten Identity Provider

(IdP) verfügt über ein sogenanntes User-

Consent -Modul, mit dessen Hilfe die End-

nutzer je nach Anwendungsfall

• ihre Einwilligung zur Übertragung von

personenbezogenen oder -beziehba-

ren Daten an einen Online-Dienst (Ser-

vice Provider/SP) geben können (EU-

DSGVO Art. 6.1 lit. a),

• über andere Rechtsgrundlagen bzw.

Erlaubnisgründe sowie gegebenen-

falls ihr Widerspruchsrecht in Kennt-

nis gesetzt werden (Art. 6.1 lit. e/f oder

Art. 88 i.V.m. § 26 BDSG),

• über die Datenschutzerklärungen der

verantwortlichen Stellen für IdP und

SP informiert werden.

Insofern ist eine datenschutzkonforme

Attributfreigabe und -übertragung prin-

zipiell möglich [FSRecht2018]. Ungeach-

tet dessen vertreten viele IdP-Betreiber den

Standpunkt, die Nutzer schützen zu müs-

sen, indem sie an die meisten SP grund-

sätzlich keine Attribute übertragen. Das

geschieht möglicherweise aus Unkennt-

nis über die oben erwähnten Ergebnisse

oder aufgrund von Anweisungen der ört-

lichen Datenschutzbeauftragten oder des

Justiziariats. Selbst auf die Bitte mancher

Service Provider, die vom Dienst benötig-

ten Attribute freizugeben, wird oftmals

zögerlich oder gar nicht reagiert. In man-

chen Fällen fordern die IdP-Betreiber von

Dienstanbietern trotz online verfügbarer

und in den SP-Metada-

ten verlinkten Daten-

schutzerklärungen so-

gar eine schriftliche Er-

klärung, welche Attri-

bute warum benötigt

werden. Erst wenn der

oder die lokale Daten-

schutzbeauftragte sei-

ne/ihre Zustimmung

erteilt hat, erfolgt die Freischaltung der

Attribute. Dass dieses Verfahren weder

innerhalb der DFN-AAI mit derzeit über

500 nicht-lokalen SP noch international

– über eduGAIN sind derzeit etwa 2500

SP verfügbar – skaliert, steht außer Fra-

ge. Befördert wird diese übervorsichtige

Grundhaltung durch das Verhalten einiger

weniger Dienstanbieter, die in der Vergan-

genheit zunächst mehr Attribute einfor-

derten als zur Nutzung des betreffenden

Dienstes tatsächlich erforderlich waren.

So wurde fallweise der Grundsatz der Da-

tensparsamkeit missachtet.

Risiken

Bevor sie mit jeder relevanten Heimatein-

richtung mühsam verhandeln und gegebe-

nenfalls die Attributfreigabe wie beispiels-

weise eine E-Mail-Adresse schriftlich be-

antragen, wissen sich viele Dienstanbie-

ter nicht anders zu helfen, als alternativ

zum Föderations-Login die Anmeldung

über Google und/oder Facebook anzu-

bieten. Ein Angebot, das die vom restrik-

tiven Verhalten ihrer Heimateinrichtung

genervten Endnutzer üblicherweise ger-

ne annehmen. Ein prominentes Beispiel

„Häufig enthalten

die übertragenen

Attribute personen-

bezogene Daten“

14 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

für diese Lösung ist LIGO (Laser Interfe-

rometer Gravitational-Wave Observatory).

In einem anderen Fall erhielt eine Person,

die Zugriff auf einen von CLARIN (European

Research Infrastructure for Language Re-

sources and Technolo-

gy) betriebenen SP be-

nötigte, sich aber auf-

grund fehlender Attri-

bute nicht anmelden

konnte, kurzerhand

einen Account an dem

von CLARIN betriebe-

nen Gast-IdP. Der IdP

der Hochschule, die von CLARIN einen

schriftlichen Antrag zur Attributfreigabe

verlangt hatte, wurde „geblacklistet“, d. h.,

die von CLARIN betriebenen SP führen die-

se Hochschule nicht mehr im Dialog zur

Einrichtungsauswahl (Discovery Service).

Viele große Forschungscommunitys und

-gemeinschaften haben in den vergange-

nen Jahren erheblichen Aufwand mit der

Errichtung eigener Authentifizierungs-

und Autorisierungs-Infrastrukturen be-

trieben, die jeweils über eine wohldefi-

nierte Schnittstelle mit einer der natio-

nalen akademischen Föderationen ver-

bunden sind. Als Modell dient hier in der

Regel die AARC Blueprint Architecture.

Wenn die Schnittstelle zu einer akademi-

schen Föderation nicht funktioniert, steht

zu erwarten, dass Communities zukünftig

vollständig ihr eigenes Identity Manage-

ment mit jeweils eige-

nen Anmeldediensten

betreiben. Bei anderen

Dienstanbietern, insbe-

sondere aus dem kom-

merziellen Bereich, ist

zu befürchten, dass sie

ausschließlich auf „So-

cial Login“ setzen, also

Anmeldung via Google, Facebook, LinkedIn

und Konsorten. Die Identity Provider der

Heimateinrichtungen werden unter sol-

chen Bedingungen dann nur noch für lo-

kale oder allenfalls Landesdienste genutzt.

Letztendlich bedeutet eine solche Situ-

ation das Ende akademischer Föderatio-

nen beziehungsweise macht diese schlicht

überflüssig.

Lösungsansatz

Gemeinsam mit dem Team der DFN-AAI hat

eine Gruppe von IdP-Betreibern folgenden

Lösungsansatz erarbeitet:

Innerhalb der DFN-AAI soll eine virtuel-

le Subföderation geschaffen werden, in

der ein besonderes Vertrauensniveau ge-

währleistet wird. SP-Betreiber lassen sich

von einer noch zu benennenden Instanz

bezüglich der benötigten Attribute (oder

generell datenschutzrechtlich) auditieren

und erhalten im Gegenzug von den teil-

nehmenden IdP ohne weitere Nachfragen

oder Verhandlungen die Zusicherung, alle

benötigten Attribute zu erhalten.

Im Rahmen eines solchen Audits wird der

minimale Attributsatz festgelegt, der zur

Nutzung des Dienstes erforderlich ist. Da-

ten für darüber hinausgehende Features

müssen gegebenenfalls getrennt abfrag-

bar sein. Dadurch soll allen Endnutzern ei-

ne möglichst datensparsame Dienstnut-

zung ermöglicht werden.

Die auditierten Attribute werden in der

DFN-AAI-Metadatenverwaltung für den be-

treffenden SP deklariert und können nur

im Rahmen eines erneuten Audits geän-

dert werden. Der DFN-Verein unterstützt

die Teilnehmer, sowohl SP- als auch IdP-Be-

treiber, mit Best Practice-Empfehlungen

hinsichtlich der Verwendung von Attribu-

ten, insbesondere was die Wahl der Attri-

bute zur Personalisierung von Diensten

angeht, also Name Identifier und funkti-

onsanaloge Attribute.

An der vorgeschlagenen Subföderation teil-

nehmende Identity Provider müssen in der

Lage sein, die vom DFN-Verein empfohle-

nen Attribute zu generieren. Die IdP-Betrei-

ber verpflichten sich, die für den jeweiligen

SP als erforderlich deklarierten Attribute

automatisch freizugeben. Die letztendliche

Übertragung der Attribute wird dann von

Endnutzern über das User-Consent -Modul

im IdP gesteuert. Fälle, in denen andere Er-

laubnisgründe als EU-DSGVO Art. 6.1 lit. a)

vorliegen, sind hier nicht relevant, da die

Attributfreigabe im Interesse der eigenen

Heimateinrichtung erfolgt.

Letztendlich dient dieses Verfahren als

Ersatz für die oben beschriebene Praxis

Erfolg verpflichtet: Wolfgang Pempe (DFN) informiert die Community über den aktuellen Stand der DFN-AAI.

Foto © Maimona Id/DFN-Verein

„Bei anderen Dienstan-

bietern ist zu befürchten,

dass sie ausschließlich

auf „Social Login“ setzen“

15WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

mancher Hochschulen, von SP-Betreibern

schriftliche Anträge für die Attributfrei-

gabe einzufordern.

Die Details dazu, ins-

besondere des Audits,

werden derzeit ausge-

arbeitet. Weiterhin gilt

es, Feedback seitens

der Datenschutzbe-

auftragten in den be-

troffenen Einrichtun-

gen einzuholen. Ohne

deren Unterstützung würde die ganze Vor-

gehensweise keinen Sinn machen. Erste po-

sitive Rückmeldungen liegen bereits vor.

Mit der Einführung des Verfahrens ist Mit-

te 2020 zu rechnen.

Verlässlichkeit von Nutzer-daten, Levels of Assurance

Problembeschreibung

Einige Jahre nach dem Start der DFN-AAI

zeichnete es sich ab, dass nicht alle Heimat-

einrichtungen die damals zur Teilnahme an

der DFN-AAI erforderlichen Voraussetzun-

gen hinsichtlich der Qualität des Identity

Managements und der Verlässlichkeit der

Nutzerdaten erfüllen konnten. Um auch

diesen Einrichtungen die Teilnahme an der

DFN-AAI zu ermöglichen, wurde für die Pro-

duktiv-Föderation eine weitere Verlässlich-

keitsklasse „Basic“ definiert. Die bisherigen

Anforderungen erhielten das Label „Ad-

vanced“. Seitdem können SP-Betreiber ent-

scheiden, ob sie nur mit IdP der Teilmenge

„Advanced“ zusammenarbeiten möchten

oder auch mit „Basic“-IdP.

Laut Dienstvereinbarung werden die teil-

nehmenden Einrichtungen in ihrer Rolle

als IdP-Betreiber dazu verpflichtet, den IdP

einer Verlässlichkeitsklasse zuzuordnen

und die damit verbundenen Mindestanfor-

derungen sicherzustellen. Eine Kontrolle

seitens des DFN-Vereins erfolgt nicht. Wäh-

rend viele Einrichtungen diese Selbstver-

pflichtung sehr ernst nehmen, gibt es leider

einige schwarze Schafe, die die oben ge-

nannte Selbstverpflichtung nicht berück-

sichtigen . An der DFN-AAI-Hotline hört man

schon mal Aussagen wie diese: „Das mit

den Verlässlichkeitsklassen ist doch alles

Quatsch! Wir wollen

Springerlink nutzen,

deshalb ist unser IdP

„Advanced“. In solchen

Fällen folgt dann stets

ein sehr ernstes Bera-

tungsgespräch. Andere

Aussagen sind zwar we-

niger dramatisch, stim-

men aber ebenfalls be-

denklich: „Ich wüsste bei uns im Haus kei-

ne zeichnungsberechtigte Person, die in

der Lage wäre, die Qualität des Identity

Managements zu bestätigen.“ Auf der an-

deren Seite drängt sich bisweilen der Ver-

dacht auf, dass nicht alle SP-Betreiber die

Dokumentation der Verlässlichkeitsklas-

sen in der DFN-AAI zur Kenntnis genom-

men haben. Insbesondere bei SP, die an-

sonsten auch in Föderationen teilnehmen,

in denen keine diesbezüglichen Standards

definiert sind, scheint die Beschränkung

auf „Advanced“-IdP innerhalb der DFN-AAI

zumindest fraglich.

Risiken

Im Gegensatz zum „Social Login“ via Google

& Co bietet ein „Academic Login“ über den

IdP der Heimateinrichtung den entschei-

denden Vorteil, dass die Identitäten bei

der Registrierung im Identity Management

System der Hochschule einer gründlichen

Überprüfung unterzogen werden und so-

mit deutlich verlässlicher sind, als dies in

sozialen Netzwerken der Fall ist. Ein echtes

Alleinstellungsmerkmal eines „Academic“

gegenüber „Social Login“ stellt die Über-

tragung der „Affiliation“ dar, also die Art

der Zugehörigkeit zur jeweiligen Heimat-

einrichtung. Hierfür existiert ein interna-

tional anerkanntes, kontrolliertes Voka-

bular („student“, „staff“, „faculty“, „mem-

ber“, etc.), das SP-seitig für Autorisierungs-

entscheidungen ausgewertet wird und so

der Zugriffskontrolle auf bestimmte ge-

schützte Ressourcen dient. Diese Vortei-

le machen einen „Academic“ beziehungs-

weise AAI-Login für Dienstanbieter insbe-

sondere im Forschungsumfeld zum Mit-

tel der Wahl. Wenn diese Angaben aber

nicht stimmen und sich der Dienstanbie-

ter nicht auf deren Korrektheit verlassen

kann, hat er ein ernsthaftes Problem. Be-

rechtigungen für den Zugriff auf beispiels-

weise ein Experiment (Hochenergiephy-

sik) oder auf vertrauliche Forschungsda-

ten (Medizin, Life Sciences) werden letzt-

endlich auf der Basis von Informationen

vergeben, die vom IdP der jeweiligen Hei-

mateinrichtung übertragen werden. Die-

se Angaben, insbesondere die sogenann-

te Affiliation, müssen stets korrekt sein

und etwaige Änderungen möglichst zeit-

nah propagiert werden. Fälle, bei denen

beispielsweise ehemalige Mitarbeiterin-

nen oder Mitarbeiter in einer Einrichtung

noch monatelang auf geschützte Ressour-

cen zugreifen können, weil Statusänderun-

gen nur zeitversetzt in das IdM gelangen

und erst dann für den IdP verfügbar wer-

den, gilt es zu vermeiden.

Lösungsansatz

Ziel ist, die Zuordnung zu einer Verläss-

lichkeitsklasse verbindlicher zu gestalten.

Der aktuelle Planungsstand sieht vor, dass

die in der Dienstvereinbarung genannten

Ansprechpartner künftig neben den Me-

tadaten-Administratoren auch eine oder

mehrere Personen als Ansprechpartner für

Fragen des Identity Managements an der

betreffenden Einrichtung benennen. Die-

se IdM-Ansprechpartner sollen angehalten

werden, in noch festzulegenden Intervallen

einen Online-Fragebogen zum Thema Iden-

tity Management auszufüllen und an den

DFN-Verein weiterzuleiten. Anhand dieser

Angaben erfolgt dann die Zuordnung zu

einer Verlässlichkeitsklasse beziehungs-

weise zu analogen Kategorien im REFEDS

Assurance Framework.

Die bestehenden Verlässlichkeitsklassen in

der DFN-AAI sollen mittelfristig durch das

REFEDS Assurance Framework [REFEDSAs-

surance] abgelöst werden. Während die

Verlässlichkeitsklassen in der DFN-AAI tech-

nisch über zwei Metadatensätze definiert

sind, zwischen denen SP-Betreiber auswäh-

len können, werden im REFEDS Assurance

„Weiterhin gilt es, Feed-

back seitens der Daten-

schutzbeauftragten in

den betroffenen Einrich-

tungen einzuholen“

16 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

Framework die relevanten Informationen

in Form von Attributen übertragen. Hierbei

werden die folgenden Aspekte behandelt:

• Identifier uniqueness

• Identity proofing and credential

issuance, renewal and replacement

• Attribute quality and freshness

SP-Betreiber müssen anhand der übertra-

genen Attributwerte die für sie relevanten

Informationen auswerten. Auf diese Wei-

se wird das Bewusstsein für die Relevanz

von Verlässlichkeitsinformationen bezie-

hungsweise Levels of Assurance auch auf

SP-Seite geschärft. Ein oftmals vom Bauch-

gefühl gesteuertes Hin- und Herschalten

zwischen Metadatensätzen wird somit

obsolet. Dieser Ansatz funktioniert aber

nur, wenn er auf breiter Basis von den an

der DFN-AAI teilnehmenden IdP umge-

setzt wird. Hierzu wird der DFN-Verein

bis Jahres ende ausführliche Konfigurati-

onsbeispiele und Richtlinien bereitstel-

len. Weiterhin wird das Thema in zukünf-

tigen Shibboleth- und AAI-Workshops be-

handelt werden.

Sicherheit, Umgang mit Vorfällen und Angriffen

Problembeschreibung

Mit der Teilnehmerzahl der Föderation und

der zunehmenden internationalen Vernet-

zung (eduGAIN) vergrößert sich auch die

Angriffsfläche für Identitätsdiebstahl, für

Hacking von Service Providern und An-

griffe auf von der Föderation betriebene

Infrastrukturkomponenten.

Risiken

Es ist von mindestens drei Gefährdungs-

szenarien auszugehen:

• IdP: Bei Identity Providern liegt das Ri-

siko beim Identitätsdiebstahl. Bereits

ein gehackter User-Account kann, ent-

sprechende Berechtigungen voraus-

gesetzt, großen Schaden anrichten.

Beispiele sind der Diebstahl von For-

schungsdaten oder der Missbrauch

von hochschulinternen Diensten (z. B.

SAP-Systeme).

• SP: Bei Service Providern besteht die

Gefahr des Diebstahls von dienstlo-

kalen Forschungs- und/oder Nutzer-

daten.

• Föderation: Durch Hacking können in

der Metadatenverwaltung unter an-

derem Manipulationen an den Föde-

rationsmetadaten vorgenommen wer-

den. Im schlimmsten Fall kann durch

einen Hacking-Angriff der gesam-

te Föderationsbetrieb zum Erliegen

kommen.

Lösungsansatz

Um im AAI-Umfeld schnellstmöglich auf

Sicherheitsvorfälle reagieren zu können

und deren Folgen so weit wie möglich ein-

zudämmen, wurde bereits 2015 auf inter-

nationaler Ebene das „Sirtfi Framework“

etabliert. „Sirtfi“ steht für „Security Inci-

dent Response Trust Framework for Fede-

rated Identity“ [Sirtfi], das seit 2016 auch

innerhalb der DFN-AAI unterstützt und

propagiert wird. Seither wird in den IdP-/

SP-Metadaten die Angabe einer Kontakt-

adresse für Sicherheitsvorfälle erwartet.

Die Konformität mit Sirtfi wird metada-

tentechnisch anhand eines Entity Attri-

buts (auch als „Trust Mark“ bezeichnet)

modelliert, das nach Prüfung der Voraus-

setzungen von Föderationsseite gesetzt

wird. Manche SP-Betreiber wie die Großfor-

schungseinrichtung CERN lassen nur An-

meldungen über IdP zu, bei denen dieses

Entity-Attribut gesetzt ist. Sirtfi definiert

einen Katalog von Voraussetzungen, die

gegeben sein müssen, um volle Konformi-

tät zu erlangen. Der Katalog umfasst Kri-

terien unter anderem aus den Bereichen

Betriebssicherheit (Operational Security),

Incident Response und Traceability.

Im Bereich Incident Response erfolgt eine

enge Kooperation mit dem DFN-CERT,

dessen Incident Response Team auch AAI-

spezifische Zwischenfälle betreut.

Derzeit (Stand Oktober 2019) nehmen ledig-

lich etwa zehn Prozent der Identity Provi-

der und zwei Prozent der Service Provider

in der DFN-AAI an Sirtfi teil. Hier muss der

„Fälle, bei denen

ehemalige Mitarbeiter

noch monatelang auf

geschützte Ressourcen

zugreifen können, gilt es

zu vermeiden“

Invitingnew vector of

attack

Uncertainty in security

capability of participants

Lack of trust

Organisations are choosing to opt out of eduGAIN, or block authentication, due to lack of trust.

+ =Ursachen von Vertrauensverlust

17WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

DFN-Verein in stärkerem Maße als bisher

darauf hinwirken, sowohl das Bewusstsein

für die Sicherheitsproblematik zu schär-

fen, als auch die Teilnehmer beratend bei

der Erfüllung der notwendigen Kriterien

zu unterstützen. Dies kann nur gemein-

sam mit dem DFN Security Team und dem

DFN-CERT geschehen.

Erfreulicherweise sind mittlerweile unab-

hängig von Sirtfi Sicherheitskontakte für

die überwiegende Mehrheit der IdP und

mehr als die Hälfte aller SP in den Meta-

daten hinterlegt. Diese Angaben sollen

zukünftig regelmäßig im Rahmen von

Test-Alarmen überprüft werden, um si-

cherzustellen, dass sie stets aktuell sind.

Qualität des Föderations- betriebs

Problembeschreibung

Auch auf Seiten des Föderationsbetreibers

besteht Optimierungsbedarf. Die Metada-

tenverwaltung ist in die Jahre gekommen

und entspricht längst nicht mehr den ak-

tuellen Anforderungen hinsichtlich Nutzer-

freundlichkeit und Portabilität. Die Pflege

und Weiterentwicklung des in über zwölf

Jahren gewachsenen Quellcodes erweist

sich als zunehmend aufwendig. Bereits

mehrfach wurde der Wunsch nach einer

REST-basierten Schnittstelle zur automati-

sierten Pflege von Metadaten geäußert. Mit

OpenID Connect existiert seit einiger Zeit

ein weiterer AAI-relevanter Standard, den es

zukünftig neben SAML zu unterstützen gilt.

Weitere wichtige Punkte sind die Verfüg-

barkeit der technischen Infrastruktur

und der technische Support. Eine wich-

tige Baustelle ist in diesem Zusammen-

hang auch die technische Dokumen-

tation, die in manchen Bereichen nur

einsprachig vorliegt. Mit zunehmender

internationaler Vernetzung sollte zu-

mindest für die Kernbereiche der Doku-

mentation auch eine englische Version

vorgehalten werden.

Risiken

Die technischen Hürden für die Teilnah-

me an einer Föderation wie der DFN-AAI

AAIplus

Sicherheit Vertrauen Qualität

IdP • Betriebs- und

• Informationssicherheit

(u.a. aktuelle Software)

• Incident Response

Attributfreigabe IdM-Prozesse

SP Datenschutz-Audit SP-Nutzung

FO PoliciesMetadatenverwaltung, Support,Dokumentation

StandardsSirtfi, REFEDS Assurance Framework, SAML, OIDC, …

Best Practices

Das Konzept auf einen Blick. (FO = Federation Operator/Föderationsbetreiber)

SP

SP

IdP

SP

Federation 1

SP

SP

SP

SP

IdPIdP

Federation 2

SP

SP

IdP

SP

Federation 3

IdP

All i need is one account ...

Angriffsszenario: Ein gehackter Account reicht, um über eduGAIN auf geschützte Ressourcen

zuzugreifen

Co

mm

un

ity

18 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

sind bereits sehr hoch. Der Föderationsbetreiber soll-

te alles in seiner Macht Stehende unternehmen, um

den Prozess der Teilnahme und den Verbleib in der Fö-

deration so einfach und überschaubar wie möglich zu

halten. Ansonsten besteht die Gefahr, dass potenziel-

le Teilnehmer in parallele Strukturen abwandern oder

sich sonstigen alternativen Lösungen zuwenden.

Lösungsansatz

Die Programmierung der nächsten Version der Meta-

datenverwaltung der DFN-AAI wird ab dem kommen-

den Jahr am DFN-CERT durch hauptberufliche Soft-

ware-Entwickler erfolgen. Neben dem derzeit maß-

geblichen Standard SAML soll dieser auch OpenID

Connect unterstützen sowie über eine REST-API für

die automatisierte Metadaten-Pflege seitens der teil-

nehmenden Einrichtungen und Dienstanbieter verfü-

gen. Weiterhin ist angedacht, dass das DFN-CERT künf-

tig auch den Betrieb der Metadatenverwaltung über-

nimmt, sodass die DFN-AAI auch hier von den hohen

Sicherheitsstandards des Dienstleisters profitiert.

Bereits im vergangenen Jahr wurde damit begonnen, die

wichtigsten vom DFN-Verein betriebenen technischen

Komponenten in eine neue Infrastruktur zu überführen,

die ein erhöhtes Maß an Ausfallsicherheit und Redundanz

bietet: unter anderem durch die Einführung von Load

Balancern und Datenbank-Clustern sowie redundanten

virtuellen Maschinen. Diese Maßnahmen sind weitge-

hend abgeschlossen. Mit der Verstärkung des DFN-AAI-

Teams konnte die technische Dokumentation über die

vergangenen Monate weiter ausgebaut und um weitere

Themen ergänzt werden. In den nächsten Monaten steht

die Überarbeitung der englischsprachigen Seiten an. Um

eine gleichbleibende Qualität des technischen Supports

zu gewährleisten, sind verschiedene interne Maßnahmen

angedacht, die im Rahmen der neuen DFN-internen Be-

reichsstruktur umgesetzt werden sollen. Hierzu gehört

zum Beispiel die Einführung eines Verhaltenscodex für

den Support von DFN-Diensten. Ein weiterer wichtiger

Punkt ist die Erstellung einer zentralen „Federation Po-

licy“ – ein Dokument, in dem alle wichtigen Regeln für

die Teilnahme an der DFN-AAI zusammengefasst werden.

Bislang liegen diese Informationen verstreut vor. Dazu

gehören unter anderem die Definition der jeweils gül-

tigen Verlässlichkeitsklassen bzw. Levels of Assurance,

die maßgeblichen Technologie-Profile (derzeit SAML, zu-

künftig auch OpenID Connect), Regeln zur Verwendung

von Zertifikaten und das Metadata Registration Practice

Statement.

Fazit und Ausblick

Die oben beschriebenen Probleme und Herausforde-

rungen sind seit Längerem bekannt und mit der Umset-

zung der Lösungsansätze wurde in den meisten Fällen

bereits begonnen. Die Idee aber, die Lösungs ansätze im

Rahmen einer Gesamtstrategie, sozusagen einer Quali-

tätsoffensive „AAIplus“, koordiniert zu verfolgen, wur-

de erst im Rahmen der vergangenen zwei Betriebsta-

gungen geboren. Letztendlich profitieren alle an der

DFN-AAI teilnehmenden Einrichtungen und Dienstan-

bieter von einem gleichbleibend hohen Niveau hinsicht-

lich Verlässlichkeit, Datenschutz, Sicherheit und Stabi-

lität – und am Ende Millionen von Endnutzerinnen und

-nutzern aus dem Bereich Bildung und Forschung. Vor

diesem Hintergrund sind Föderationen wie die DFN-

AAI heute ein unverzichtbarer Bestandteil des akade-

mischen Lebens.

Bei der Qualitätsoffensive „AAIplus“ handelt es sich um

keine Kopfgeburt. Vielmehr wurden Ideen und Inhal-

te aus dem Kreis der Community an das DFN-AAI-Team

herangetragen und einige der Ansätze gemeinsam mit

Vertreterinnen und Vertretern der teilnehmenden Ein-

richtungen und Organisationen entwickelt. Im Laufe der

kommenden Monate sollen die noch offenen Fragen be-

züglich der Lösungsansätze geklärt werden. Ziel ist es,

bis Ende des Jahres gemeinsam eine Roadmap zur Um-

setzung der erforderlichen Maßnahmen zu entwickeln.

Der stete Austausch mit der Community ist der Mo-

tor für die Weiterentwicklung der DFN-AAI. Dieser

Di alog wird fortgeführt und vertieft werden. Ob und in-

wieweit dieser Prozess zukünftig formalisiert werden

kann und soll, steht noch zu prüfen. Letztendlich geht es

darum, gemeinsam die Zukunftsfähigkeit der DFN-AAI

sicherzustellen. M

REFERENZEN[FSRecht2018] M. Mörike, A. Strobel, Datenschutzrechtliche

Analyse das AAI-Verfahrens. Vortrag im AAI-Forum der

69. Betriebstagung

[REFEDSAssurance] https://refeds.org/assurance

[Sirtfi] https://refeds.org/sirtfi

19WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

https://refeds.org/assurancehttps://refeds.org/sirtfi

Heutige Forschung ist geprägt von dis-

ziplinübergreifenden Kooperationen

– nicht selten von mehreren Tausend

Wissenschaftlerinnen und Wissenschaft-

lern, die noch dazu räumlich voneinander

getrennt auf unterschiedlichen Kontinen-

ten arbeiten. Eine sichere und vor allem

stabile Echtzeitkommunikation spielt für

deren reibungslose Zusammenarbeit eine

große Rolle. Virtuelle Hochleistungstele-

fonanlagen in der IP/Cloud-Telefonie und

daran angepasste Kommunikationstools

müssen den Ansprüchen eines „verteilten

Arbeitens“ genügen.

Die Einführung neuer mobiler und browser-

basierter Anwendungen in DFN VoIP-Centrex

bedeutet für die Teilnehmer am Deutschen

Forschungsnetz (DFN) einen Zuwachs an

Flex ibilität und Mobilität: Vom Heimarbeits-

platz bis hin zu „free seating“-Arbeitsplät-

zen können sie das umfangreiche Ange-

bot des Dienstes nutzen. Jedes Endgerät,

ob Smartphone, Tablet oder Desktop-Rech-

ner, ist möglich.

Die neue Anwendungsumgebung kann

ganz einfach personalisiert werden – bei-

spielsweise mit einer Präsenzstatus-Über-

sicht der einzelnen Favoriten. Sie hat ein

intuitives User Interface mit Drag-&-Drop-

sowie Plug-&-Play-Funktionen und ist für

verschiedene Browser verfügbar. So hat

der Nutzer quasi eine vollwertige Tele-

fonanlage, fast schon ein kleines Büro, in

der Tasche und ist in Verbindung mit dem

klassischen Tischtelefon über eine einzige

Festnetznummer überall erreichbar.

DFN VoIP-Centrex macht mobilDFN VoIP-Centrex in neuem Gewand: Ob Telefonkon-

ferenzen, mobile App, Desktop-App oder Faxlösungen

– mit der Weiterentwicklung seines Dienstes kann der

DFN-Verein hinsichtlich Unified Communications (UC)

nun alle Funktionen aus einer Hand in einer einheitli-

chen Anwendungsumgebung anbieten.

Text: Christian Meyer (DFN-Verein)

Illu

stra

tio

n ©

fri

kota

/ iS

tock

20 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

Sicherheit wird dabei groß geschrieben: Die

Sprachübertragung ist mit einer Sprach-

verschlüsselung (SRTP) gegen „Mithörer“

abgesichert und verfügt über eine TÜV-

geprüfte sowie ISO-zertifizierte Sprach-

qualität. Die Nutzung der Cloud-Services

genügt höchsten Datenschutzstandards.

Auch verfügt der Dienst dank seiner dop-

pelten Anbindung an das Wissenschafts-

netz X-WiN über eine weitaus höhere Ver-

fügbarkeit als herkömmliche Anlagen.

Mit VoIP-Centrex können Teilnehmer auf

den Betrieb der eigenen TK-Anlage verzich-

ten. Die virtuelle Telefonanlage kann für

mehrere Standorte genutzt werden. Dar-

über hinaus verwenden Teilnehmer stets

die aktuelle Technik mit automatischen Up-

dates. So muss nicht mehr in kosteninten-

sive Wartungsverträge investiert werden.

Wie bei einer vom Teilnehmer lokal be-

triebenen VoIP-TK-Anlage ist die VoIP-

Centrex -Plattform per SIP-Trunking mit

der VoIP-Plattform verbunden, um die Kon-

nektivität innerhalb des Forschungsnetzes

als auch in die öffentlichen Telefonnetze

sicherzustellen. Diese Verbindung sowie

die Verbindungen zu den angebundenen

Endgeräten sind standardmäßig per TLS/

SRTP verschlüsselt.

Bereits 38 Institutionen mit rund 6.000 Ne-

benstellen nutzen DFN VoIP-Centrex. Ge-

rade vor dem Hintergrund der derzeitigen

ISDN-Abschaltung ist VoIP-Centrex eine va-

lide Möglichkeit, die eigene Telefonie auf

die aktuelle Technik zu migrieren. Dank der

neuen Mobilitätsoptionen können kosten-

günstigere Regelungen für Nebenstellen

getroffen werden. M

DFN VoIP-Centrex macht mobil

SIP Trunk

ÖffentlicheTelefonnetze

X-Win

teilnehmende Einrichtung

IP

IP

IP

VoIP-Centrex

VoIP-Plattform

Breakout

Breakin

Bei Fragen kontaktieren Sie

uns bitte unter folgender

Kontaktadresse:

030 884299-9126 oder

DFNFernsprechen@dfn.de

Die Portalseite für den

Dienst VoIP-Centrex mit allen

relevanten Dokumentationen

ist erreichbar unter:

https://www.dfn.de/

dienstleistungen/

dfnfernsprechen/

Verbindungen von VoIP-Centrex-Teilnehmern werden über die zentrale im X-WiN befindliche VoIP-Plattform in die öffentlichen Telefonnetze geleitet.

21WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

mailto:DFNFernsprechen@dfn.dehttps://www.dfn.de/dienstleistungen/dfnfernsprechen/

Rund 800 Teilnehmer aus Forschung und Lehre nutzen das Wis-

senschaftsnetz und seine Dienste. Ob High Performance Com-

puting (HPC) für aufwendige Simulationsverfahren oder der Ein-

satz von datenintensiver Großforschung wie in der Astronomie

– die Anwender des Deutschen Forschungsnetzes (DFN) sind da-

rauf angewiesen, dass die DFN-Dienste einwandfrei und ausfall-

sicher laufen – und das rund um die Uhr.

Um die Hochverfügbarkeit der Dienste weiter zu optimieren, führ-

te das OS-Team des DFN-Vereins vor einiger Zeit die Virtualisie-

rungsverwaltung Proxmox VE ein. Die Open-Source-Serverplatt-

form basiert auf Debian Linux und unterstützt die Einrichtung

und Verwendung redundanter Speicher- und Netzwerkgeräte. Sie

unterstützt zwei Arten von Virtualisierungen: die vollständige Vir-

tualisierung mit KVM und die Container-basierte Virtualisierung

mit LXC. Proxmox VE verfügt über High-Availability-Cluster, mit

deren Hilfe eine virtuelle Maschine (VM) beim Ausfall eines Hosts

automatisch auf einen anderen HA-Cluster-Knoten migriert wird.

In einem Proxmox-HA-Clusterverbund wird keine Cold- oder

Hot-Standby-Hardware benötigt, da bei Ausfall eines Cluster-

servers dessen VMs oder Container auf die noch vorhandenen

HA-Clusterserver migriert werden. Laufende VMs können mit der

Live-Migration ohne Ausfallzeit von einem Virtualisierungshost

auf einen anderen verschoben werden. Damit wird eine Abhän-

gigkeit von Hardware effizient verringert. So können jederzeit

problemlos Wartungsarbeiten oder Reboots durchgeführt, Pat-

ches eingespielt oder Hardware ausgetauscht werden.

Proxmox VE stellt einen Software-Stack namens „ha-manager“ zur

Verfügung, der für die Ressourcenverwaltung (VMs und Contai-

ner) konfiguriert wird. Er funktioniert wie ein „automatisierter“

Administrator, der Fehler erkennt und im Fehlerfall eigenständig

einen Service-Failover auf einen anderen Knoten durchführt. Der

„ha-manager“ kann auch normale Benutzeranforderungen bearbei-

ten und einen Dienst starten, stoppen, verlagern und migrieren.

Technische Voraussetzungen für Proxmox-HA-Cluster:

• mindestens drei Cluster Nodes (um ein zuverlässiges

Quorum zu erhalten)

• Shared storage für VMs und Container

• Hardware-Redundanz

• zuverlässige Hardware-Komponenten

• Hardware Watchdog (falls nicht verfügbar, wird auf

den Linux-Kernel-Software-Watchdog (Softdog)

zurückgegriffen)

• Multicast muss aktiviert sein

• Hardware-Fencing

Virtualisierungsverwaltung leicht gemacht Als Lösung für die Hochverfügbarkeit und Ausfallsicherheit seiner Server setzt der

DFN-Verein unter anderem die Open-Source-Virtualisierungsverwaltung Proxmox VE ein.

Ihre Funktionen sowie ein automatisierter Clustermanager für die Ressourcenverwaltung

machen die Anwendung für Netzwerk-Administratoren interessant.

Text: Hartmut Pröger (DFN-Verein)

KERNEL-BASED VIRTUAL MACHINE (KVM)Der Open-Source-Hypervisor KVM ist eine Vollvirtualisie-

rungslösung für Linux auf x86-Hardware (mit Virtualisie-

rungserweiterungen Intel VT oder AMD-V). Mit KVM können

mehrere virtuelle Maschinen anhand von unmodifizierten

Linux- oder Windows-Images erstellt werden. KVM ist flexi-

bel und skalierbar, passt sich spezifischen Anforderungen

an und ermöglicht dem Nutzer ausreichend Agilität.

CONTAINER-BASIERTE VIRTUALISIERUNG MIT LXCLXC ist eine Container-basierte Virtualisierung für Linux.

LXC erstellt mehrere sichere, isolierte Linux-Container auf

einem einzigen physikalischen Server, was eine bessere

Auslastung der Server ermöglicht und Anwendungskon-

flikte verhindert.

22 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

Hochverfügbarkeit: Wie arbeitet Proxmox HA?

Voraussetzung ist, dass Proxmox HA für

den Virtualisierer in der Konfiguration ak-

tiviert wurde. Wenn ein Knoten aus ver-

schiedenen Gründen nicht mehr reagiert,

wartet Proxmox HA 60 Sekunden, ehe es

den Knoten als fehlerhaft kennzeichnet.

Fencing verhindert, dass Cluster-Dienste

während dieser Zeit online gehen.

Nachdem ein Knoten fehlgeschlagen ist

und sein Fencing erfolgreich war, ver-

sucht der „Cluster Resource Manager“

(CRM), Dienste vom ausgefallenen Kno-

ten in andere Knoten zu verschieben, die

noch online sind.

LXC-Container können nicht live migriert

werden. HA stoppt zuerst alle LXC-Contai-

ner und verschiebt sie dann zum nächs-

ten Knoten.

Die Auswahl der Knoten, auf denen diese

Dienste wiederhergestellt werden, wird von

den Einstellungen der Ressourcengruppe,

der Liste der derzeit aktiven Knoten und ihrer

jeweiligen aktiven Dienstanzahl beeinflusst.

Der CRM erstellt zuerst ein Set, beste-

hend aus den vom Benutzer ausgewähl-

ten Knoten (aus der Gruppeneinstellung)

und den verfügbaren Knoten. Er wählt an-

schließend die Untergruppe von Knoten

mit der höchsten Priorität aus und schließ-

lich den Knoten mit der niedrigsten ak-

tiven Diensteanzahl. Dies verringert das

Risiko einer Überlastung.

Bei einem Knotenausfall verteilt der CRM

Dienste auf die verbleibenden Knoten. Dies

sw2b1-han

Proxmox1 Proxmox2 Proxmox3

sw2b2-han

sw1b1-han nas1-han

sto3-han

2 x 10 GB

2 x 1 GB

2 x 1 GB

2 x 1 GB

2 x 1 GB

2 x 10 GB

2 x 10 GB 2 x 10 GB

2 x 10 GB

2 x 10 GB

2 x 10 GB2 x 10 GB2 x 10 GB2 x 10 GB

VM_1VM_2CT_1

VM_2CT_1VM_3VM_4CT_2

VM_1VM_5VM_6

2 x 10 GB

2 x 10 GB2 x 10 GB

sw1b2-han

SAN HAN (10.0.0.0/24)

LAN Quorum

LAN Quorum

HA-CLUSTER - FAILOVER KONZEPT

PROXMOX CLUSTER FILE SYSTEM (PMXCFS)Proxmox VE verwendet ein eigenes Datenbank-gestütztes Dateisystem zur Spei-

cherung von Konfigurationsdateien, das sogenannte Proxmox Cluster File System

(pmxcfs). Dieses ermöglicht es, die Konfiguration von Tausenden virtuellen Maschi-

nen zu speichern. Durch die Verwendung von corosync werden diese Dateien in

Echtzeit auf allen Cluster-Knoten repliziert. Das Dateisystem speichert alle Daten

in einer persistenten Datenbank auf der Festplatte; eine Kopie der Daten bleibt im

RAM liegen, das zwar nur eine maximale Speichergröße von 30 MB bietet – mehr als

genug für Tausende von VMs. Proxmox VE ist die einzige Virtualisierungsplattform

am Markt mit diesem einzigartigen pmxcfs Cluster-Dateisystem.

23WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

erhöht die Serviceanzahl und kann insbesondere bei kleinen Clus-

tern zu hoher Auslastung führen. Der Cluster sollte so ausge-

legt sein, dass er solche Worst-Case-Szenarien verarbeiten kann.

Wie funktioniert die Benutzerverwaltung?

Proxmox unterstützt mehrere Anmeldemethoden, wie zum Bei-

spiel Microsoft Active Directory, LDAP, Linux PAM oder den in-

tegrierten Proxmox VE Authentication Server. Die Rechte kön-

nen rollen-/benutzerbasiert eingestellt und definiert werden.

Der Root-Benutzer des Systems kann sich jederzeit über den Linux-

PAM-Bereich anmelden und hat uneingeschränkte Administra-

tor-Rechte. Dieser Root-Benutzer kann nicht gelöscht werden,

es können aber Attribute geändert werden.

Jeder Benutzer kann Mitglied mehrerer Gruppen sein. Gruppen

sind die bevorzugte Möglichkeit zum Organisieren von Zugriffs-

berechtigungen, weil dadurch kürzere Zugriffslisten entstehen,

die einfacher zu handhaben sind.

Was hat es mit der Berechtigungsverwaltung auf sich?

Damit ein Benutzer eine Aktion durchführen kann (z. B. das

Auflisten, Ändern oder Löschen von Teilen einer VM-Konfigu-

ration), muss er über die entsprechenden Berechtigungen ver-

fügen. Proxmox VE verwendet ein rollen- und pfadbasiertes

Berechtigungsverwaltungssystem. Durch einen Eintrag in der

Berechtigungstabelle können Benutzer oder Gruppen beim

Zugriff auf ein Objekt oder einen Pfad eine bestimmte Rolle

übernehmen. Das bedeutet, dass eine solche Zugriffsregel als

ein Triple von „Pfad, Benutzer, Rolle“ oder „Pfad, Gruppe, Rol-

le“ dargestellt werden kann, wobei die Rolle einer Gruppe zu-

lässige Aktionen enthält und der Pfad das Ziel dieser Aktionen

darstellt.

Wie funktioniert das Proxmox- Speichermodell?

Das Proxmox-Speichermodell ist sehr flexibel. Die Images von

virtuellen Maschinen können entweder in einem oder mehre-

ren lokalen Speichern oder in einem gemeinsam genutzten Spei-

cher wie NFS oder iSCSI (NAS, SAN) abgelegt werden. Da es keine

Grenzen gibt, können beliebig viele Speicherpools konfiguriert

werden. Alle für Debian Linux verfügbaren Speichertechnolo-

gien sind verwendbar.

Ein Vorteil des Speicherns von VM auf gemeinsam genutztem

Speicher besteht darin, dass laufende VMs ohne Ausfallzeit live

migriert werden können, da alle Virtualisierer im Cluster direk-

ten Zugriff auf die Festplattenimages der VM haben. VM-Image-

Daten müssen nicht kopiert werden, darum ist die Livemigra-

tion sehr schnell.

Proxmox unterstützt folgende Speichermodelle:

ʃ File Level Storage

ZFS (local), NFS, CIFS, GlusterFS, CephFS

ʃ Block Level Storage

LVM, LVM Thin, iSCSI, Ceph/RDB, ZFS over iSCSI

Beim DFN werden die VM-Images zurzeit via NFS auf einem Net-

work Attached Storage (NAS) gespeichert. In Zukunft sollen die

Images jedoch in einem Ceph-Cluster abgelegt werden. Ceph

ist ein verteiltes Dateisystem über mehrere Virtualisierer und

extrem ausfallsicher sowie selbstheilend.

Welche Backup Möglichkeiten gibt es in Proxmox VE?

Es gibt verschiedene Gründe für einen Datenverlust: Virenpro-

gramme, Softwareausfall, Stromausfall, Datenfehler, Hardware-

ausfall, menschliche Fehler etc. Ab der Version Proxmox VE 5.0

sind zwei Backup-Optionen im Lieferumfang enthalten:

ʃ Full Backup: Dadurch wird die gesamte virtuelle Maschine

gesichert.

ʃ Snapshot: Dadurch wird der Zustand einer VM zu einem be-

stimmten Zeitpunkt eingefroren.

Eine Vollsicherung sollte niemals durch Snapshots ersetzt werden.

Für eine Disaster-Recovery-Strategie sind Full Backups angezeigt.

RICH APP MANAGEMENT TOOLProxmox VE ist einfach zu bedienen: Man braucht weder

ein separates Management-Tool noch einen zusätzlichen

Management-Knoten mit riesigen Datenbanken zu instal-

lieren. Dies alles erfolgt über das mitgelieferte Rich-Web-

App-Management-Tool. Mit dem Multi-Master-Tool kann

der gesamte Cluster von jedem beliebigen Cluster-Knoten

aus verwaltet werden. Durch die zentrale webbasierte Ver-

waltungsoberfläche – basierend auf JavaScript Framework

(Ext JS 4) – können fast alle Funktionen einfach vom Web-

GUI aus kontrolliert und History sowie Syslogs der einzel-

nen Knoten permanent überblickt werden. Dazu gehören

auch laufende Backup- oder Restore-Tasks, Live-Migration

oder durch das HA ausgelöste Aktivitäten.

24 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ

Ein Full Backup ist ein vollständiges, kom-

primiertes Backup einer virtuellen Maschi-

ne einschließlich ihrer Konfigurationsdatei.

Das Full Backup kann lokal auf dem glei-

chen Cluster oder in einem ganz anderen

Proxmox-Cluster wiederhergestellt wer-

den. Da eine Vollsicherung die komplet-

te virtuelle Maschine einschließlich aller

virtuellen Festplatten-Images sichert, ist

es das langsamste Backup-Verfahren. Es

ist auch die sicherste Möglichkeit, da die

Sicherungsdatei nicht von der ursprüng-

lichen VM abhängig ist. Zwei der wich-

tigsten Komponenten einer Vollsiche-

rung sind der Backup-Modus und die

Komprimierungsstufe.

Es stehen drei Backup-Modi, die unter-

schiedliche Datensicherheit und Geschwin-

digkeit bieten, zur Verfügung:

• Snapshot-Modus: ein Snapshot für

ein Voll-Backup, bekannt auch als Live

Backup. Da eine Sicherung bei laufen-

der VM erfolgt, gibt es zwar keine Aus-

fallzeiten, damit aber auch die längs-

te Backup-Zeit. In seltenen Fällen kön-

nen bei Live Backups Sicherungsfeh-

ler aufgrund von File Locks entstehen.

• Suspend-Modus: In diesem Modus

erfolgt eine Sicherung, nachdem die

VM vorübergehend unterbrochen

oder eingefroren wurde. Daher ist

die Ausfallzeit während eines Back-

ups moderat. Nach Abschluss einer

Sicherung nimmt die VM den regulä-

ren Betrieb wieder auf. Dieser Modus

hat eine geringere Fehlerwahrschein-

lichkeit während einer Sicherung als

der Snapshot-Modus.

• Stop-Modus: In diesem Modus wer-

den laufende VMs automatisch aus-

geschaltet oder gestoppt und nach

abgeschlossener Sicherung wieder

eingeschaltet. Das bietet eine maxi-

male Sicherheit vor Fehlern in der Si-

cherung und ist zudem der schnells-

te Backup-Modus.

Snapshots erfassen oder frieren zu ei-

nem bestimmten Zeitpunkt den Zustand

einer virtuellen Maschine ein. Es handelt

sich hierbei um keine vollständige Siche-

rung einer VM, da die Snapshots von der

ursprünglichen VM abhängig sind. Snap-

shots können an keinen anderen Ort ver-

schoben werden. Sie werden verwendet,

um zu einem früheren Zustand live zurück-

zukehren. Da Snapshots nicht die gesamte

virtuelle Maschine mit Festplatten-Images

sichern, sind sie die schnellste Backup-Op-

tion, um den Zustand der VM zu sichern.

Der Inhalt des RAM wird mitgespeichert.

Auf diese Weise kann auf die frühere VM

genauso zurückgegriffen werden, wie sie

beim Snapshot ausgeführt wurde.

Ein guter Anwendungsfall für einen Snap-

shot ist das Testen von Software oder das

Einspielen von Updates. Vor einer Soft-

wareinstallation oder dem Einspielen von

Updates sollte ein Snapshot erzeugt wer-

den. Wenn bei dem Update oder der Soft-

wareinstallation etwas schief geht, kann

der alte Zustand einfach wiederherge-

stellt werden.

Fazit:

Hochverfügbarkeit hat ihren Preis. Qua-

litativ hochwertige redundante Kompo-

nenten sind zwar teuer, aber die Anschaf-

fung lohnt sich. Für einen störungsfreien

stabilen Betrieb der DFN-Dienste ist eine

Virtualisierungsverwaltung wie Proxmox

VE eine komfortable und unter dem Strich

sehr wartungsfreundliche Lösung, da die

Live-Migration Ausfälle zuverlässig mini-

miert. Die Proxmox Web-GUI gibt einen

Überblick über alle KVM-Gäste, Linux-Con-

tainer und über den gesamten Cluster. Im

Unterschied zu vielen anderen Virtualisie-

rungslösungen muss kein zusätzlicher oder

komplexer Management-Server installiert

werden. Zu erwähnen ist die umfangrei-

che User- und Rechteverwaltung, die die

Zusammenarbeit erheblich erleichtert. M

BRIDGED NETWORKINGProxmox VE verwendet ein Bridged-Networking-Modell. Alle VMs können eine

Bridge teilen, so als ob virtuelle Netzwerk-Kabel von jedem Gast in den gleichen

Switch gingen. Damit die VMs nach außen kommunizieren können, werden Bridges

zu physischen Netzwerkkarten mit einer TCP- / IP-Konfiguration angehängt. Für

zusätzliche Flexibilität sind VLANs (IEEE 802.1Q) und Netzwerk-Bonding/-Aggrega-

tion möglich. Auf diese Weise ist es möglich, komplexe und flexible virtuelle Netz-

werke für die Proxmox VE Hosts zu bauen und die volle Leistung des Linux-Netz-

werk-Stack zu nutzen.

HIGH AVAILABILITY CLUSTERDer Proxmox VE HA Cluster ermöglicht hochverfügbare virtuelle Server. Ist eine

virtuelle Maschine oder ein Container (VM oder CT) als HA konfiguriert und der phy-

sische Host fällt aus oder ist nicht mehr erreichbar, wird die VM nach 60 Sekunden

live auf einen der verbleibenden Proxmox-VE-Cluster-Knoten migriert. Container

werden automatisch heruntergefahren, dann auf einen Proxmox-VE-Cluster-Kno-

ten kopiert und wieder gestartet. Der Proxmox VE HA Cluster basiert auf Linux

HA-Technologie und bietet einen zuverlässigen HA-Service.

25WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 |

Vielfalt und Fairness fördern – NHR im VerbundDer von der Gemeinsamen Wissenschaftskonferenz (GWK) eingesetzte Strategieausschuss

für das Nationale Hochleistungsrechnen (NHR) hat in diesem Jahr seine Arbeit aufgenommen.

Im Fokus steht die Vorbereitung eines wettbewerblichen und wissenschaftsgeleiteten Aus-

wahlverfahrens für die Aufnahme von Rechenzentren in einen zukünftigen NHR-Verbund.

Bund und Länder stellen dafür bis zu 62,5 Millionen Euro jährlich zur Verfügung. Im Interview

verrät der Vorsitzende des Strategieausschusses, Dr. Achim Basermann vom Deutschen

Zentrum für Luft- und Raumfahrt (DLR), welche Ziele der NHR-Strategieausschuss verfolgt.

Für ein starkes Hochleistungsrechnen: Dr. Achim Basermann und die beiden Leiterinnen der Geschäftsstelle des Strategieausschusses, Dr. Dörte Sternel und

Dr. Barbara Diederich, bereiten gemeinsam die nächste Sitzung vor. Foto © Maimona Id/DFN-Verein

26 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | FORSCHUNG

Komplexe Problemlösungen sind ohne den Einsatz von High

Performance Computing (HPC) in der Wissenschaft nicht

mehr denkbar. Aber was genau ist Hochleistungsrechnen und

wie grenzt es sich vom Höchstleistungsrechnen ab?

Am Deutschen Zentrum für Luft- und Raumfahrt (DLR) befassen wir

uns beispielsweise mit Kollisionsanalysen für Weltraumschrott,

der für die Trägersysteme von Satelliten kritisch ist. Mithilfe von

Simulationen – mittlerweile auch als dritte Säule der Forschung

bezeichnet – berechnen wir dessen Bahnen und planen danach

unsere Missionen im All. Das erzeugt eine große Menge an Mess-

daten. Mit diesen rechen- und datenintensiven Anwendungen

bewegen wir uns im Bereich von High Performance Computing.

Dazu zählen Höchst- und Hochleistungsrechnen. In Deutschland

stehen an der Spitze in der Ebene 1 drei im Gauss Centre for Su-

percomputing (GSC) vereinigte Institutionen: das Leibniz-Rechen-

zentrum (LRZ) der Bayerischen Akademie der Wissenschaften in

Garching, das Jülich Supercomputing Centre (JSC) des Forschungs-

zentrums Jülich (FZJ) sowie das Höchstleistungsrechenzentrum

Stuttgart (HLRS). Die Performanz geht bis in den 100-PetaFLOPS-,

in naher Zukunft sogar in den ExaFLOPS-Bereich. Zum Hochleis-

tungsrechnen, der Ebene 2, zählen wir die großen Universitäts-

rechenzentren, die in der TeraFLOPS-Leistungsklasse bis zu et-

wa einigen PetaFLOPS liegen. Das sind zum einen hochparalle-

le Supercomputer, zum anderen heterogene Computercluster,

die sowohl verteilt wie im Grid-Computing als auch im lokalen

Verbund organisiert sein können.

Neben der Förderzielgruppe besteht der Unterschied also in

der Leistung?

Nicht nur. Unterschiede zwischen beiden Ebenen gibt es vor al-

lem in der Anwendung: Höchstleistungsrechner sind gut für das

Capability Computing geeignet. Wir reden hier von einzelnen Re-

chenaufgaben und hochkomplexen Simulationen, die extrem

viel Speicher und Prozessoren benötigen. Dagegen handelt es

sich bei den Ebene-2-Rechnern im Wesentlichen um das Capacity

Computing. Das bedeutet das Lösen von Problemen mittels vieler

paralleler Rechenaufgaben mittlerer Komplexität wie Simulati-

onsläufe oder Parameterstudien. Zusätzlich werden diese Rech-

ner auch für Capability Testing eingesetzt. Hier wird getestet,

wie gut Anwendungen skalieren, um diese letztendlich auf die

Höchstleistungsrechner zu übertragen.

Was sind die Herausforderungen beim

Hochleistungsrechnen?

Zuallererst einmal ist es der Anspruch, möglichst vielen Forsche-

rinnen und Forschern deutschlandweit Rechenzeit für die Ebe-

ne-2-Systeme zur Verfügung zu stellen. Der Zugang ist allerdings

begrenzt, viele Anträge werden abgelehnt. Darum ist es wichtig,

diese Systeme möglichst effizient und wirtschaftlich zu nutzen.

Alles andere ist eine riesige Energieverschwendung. Für die gro-

ßen Rechner müsste man eigentlich direkt daneben ein kleines

Kraftwerk bauen, so viel Energie verbrauchen sie. Mittels Per-

formance-Optimierungen können die Anwendungen leistungs-

fähiger und skalierbarer gestaltet werden. Das erhöht die Ener-

gieeffizienz ebenso wie ein stabiler Betrieb. Mit zunehmender

Prozessorzahl steigt nämlich auch die Ausfallwahrscheinlich-

keit. Wir sind ja im extrem parallelen Bereich unterwegs. Früher

hatten wir 16 bis 128 Prozessoren, heute sind es Millionen auf

den größten Systemen. Das Stichwort heißt Resilienz von Hard-

ware und Software. Das System muss robust sein und trotz Aus-

fall verlässlich weiterlaufen. Zur effizienten Nutzung gehört na-

türlich auch, die Systeme möglichst gut auszulasten. Das haben

wir längst noch nicht erreicht.

Auf der einen Seite zu wenig Rechenzeit und auf der anderen

eine geringe Auslastung. Wie hängt das zusammen?

Die Rechenzeit wird durch die Anwendung bestimmt. Diese muss

einen optimalen Algorithmus mit möglichst geringer Komplexi-

tät haben. Die Rechenzeit kann ich beispielsweise dadurch ver-

kürzen, in dem ich Rechenoperationen möglichst parallel laufen

lasse, um so die Aufgaben aufzuteilen. Und ich muss in der Regel

einen Mix aus unterschiedlichen Anwendungen laufen lassen.

Und hier liegt der Hase im Pfeffer: Die Anwendungen sind häu-

fig nicht dafür präpariert, um auf unterschiedlichen Hardware-

systemen zu laufen. Sie können das System, auf dem sie laufen,

nicht optimal nutzen. In einem ungünstigen Fall allokieren sie

beispielsweise 1.000 Prozessoren und nutzen davon die meiste

Zeit nur zehn, die anderen 990 sind somit nicht beschäftigt. Das

führt dazu, dass Simulationen Wochen anstatt Stunden oder Mi-

nuten dauern. Durch die geringe Auslastung und die langen Re-

chenzeiten haben wir einfach zu wenig Rechenressourcen. Durch

ein gezieltes Monitoring der Anwendungen sowie die Entwick-

lung hochskalierbarer Algorithmen kann zusätzlich eine höhe-

re Auslastung der Systeme erreicht werden.

„Hier wird getestet, wie gut

Anwendungen skalieren“

„In einem ungünstigen Fall

allokieren sie beispielsweise 1000

Prozessoren und nutzen davon die

meiste Zeit nur 10“

FORSCHUNG | DFN Mitteilungen Ausgabe 96 | 27

Und das reicht?

Nicht ganz. Ziel ist es, die Anwendungen optimal auf die zur Ver-

fügung stehenden Systeme zu verteilen. Unser Lösungsansatz

ist, im NHR-Verbund Vielfalt zu realisieren. Das heißt, heterogene

Systeme zu fördern und verteilte Kompetenzbereiche aufzubau-

en, die von überall aus in Deutschland genutzt werden können.

Eine wichtige Säule ist hierbei, gezielt Fachpersonal zu fördern

sowie Wissenschaftlerinnen und Wissenschaftler durch Aus- und

Weiterbildung mit Methodenkompetenz im Software- und Perfor-

mance-Engineering auszustatten, insbesondere im Nachwuchs-

bereich. Allein dadurch hoffen wir, die Anzahl der Anwenderin-

nen und Anwender zu erhöhen. Gerade kleinen Fachdisziplinen

wie Geistes- oder Sozialwissenschaften ist noch nicht bewusst,

wie viel Potenzial im Hochleistungsrechnen steckt. Da schlum-

mern noch viele Innovationen. Mit einem länderübergreifenden

einheitlichen und vor allem fairen Zugangsverfahren steigern

wir die Rechenressourcen signifikant und sparen dadurch letzt-

endlich hohe Kosten.

Was heißt denn fair in dem Zusammenhang?

In dieser natio