ניהול זהויות במכון ויצמן למדע

אוכלוסיה גדולה של מדענים ותלמדי מחקר במכון וייצמן למדע מנוהלת באמצעות תשתית ניהול זהויות והרשאות על בסיס Novell Identity Manager. המערכת מאפשרת ניהול יעיל של חשבונות משתמשים והרשאותיהם במספר רב של מערכות שרתים, בסיסי נתונים ויישומים.

מכון ויצמן למדע הוא אחד ממכוני המחקר הרב-תחומיים המובילים בעולם. בקמפוס בן יותר מ- 100 בניינים הנמצא ברחובות, מתבצעים בעת ובעונה אחת כ- 1,200 מחקרים הממוקדים בחזית המדע העולמית בתחומים שונים ובהם מתמטיקה, חקר המוח, חקר הסרטן, ניצול אנרגיית השמש, חקר מבנה החומר והיקום ומספר תחומים מרתקים נוספים.

לאורך השנים התפרסם המכון בזכות שורת מחקרים, תגליות ופריצות דרך בתחומים שונים. מדעני המכון ממשיכים להוביל ביוזמות חלוציות עכשוויות.

משאבי המיחשוב הנדרשים לביצוע פעילויות המחקר והלימוד במכון ויצמן הנם רבים ומגוונים במיוחד. בפקולטות השונות במכון נשענים על משאבי מיחשוב מבוססי מערכות פתוחות ומערכות קנייניות ממרבית היצרנים הבולטים בעולם.

מרכז החישובים של מכון ויצמן למדע אחראי על מערכות המיחשוב המרכזיות במכון, ומספק שירותים מקצועיים לפקולטות השונות. הפעילות במרכז החישובים מתחלקת בין מספר קבוצות התמחות, בהן תשתיות תקשורת, עיבוד נתונים, מחשבים אישיים, יוניקס ועוד.

כך למשל, קבוצת המחשבים האישיים, בניהולו של סטיב דרוק, מטפלת בכ- 40 שרתים המבוססים על מערכות הפעלה שונות, בהן NetWare, לינוקס וחלונות, וכן כ- 2,000 מחשבי PC. בתשתית זו פועלים מספר מוצרים של נובל, כולם מרכזיים בחשיבותם בתשתית מערכות המידע של המכון; ZENworks for Desktop לניהול מחשבי המשתמשים, ZENworks Patch Management להפצת עדכוני תוכנה ברשת, GroupWise כמערכת דואר מרכזית, ושירותים מיוחדים כדוגמת iFolder המאפשר למשתמשיPC ומקינטוש לגשת אל קבצי העבודה שלהם ממספר מחשבים, בעבודה ובבית. מרביתם של שירותים אלה פועלת בסביבת Cluster הגדול מסוגו בארץ , ומבוסס על 17 שרתי NetWare OES. פעולת האשכול מבטיחה רציפות וזמינות גבוהה של שירותים לאוכלוסית המשתמשים הגדולה.

ניהול משתמשים אוטומטי

במכון ויצמן למדע פועלים בעת ובעונה אחת מדענים ותלמידי מחקר רבים הזקוקים לגישה למשאבי המיחשוב השונים. אוכלוסייה דינמית זו מציגה ביקוש רב להגדרת חשבונות משתמשים במספר רב של מערכות שרתים, בסיסי נתונים ויישומים. מאידך, אילוצי אבטחת מידע מכתיבים צורך בסגירת הרשאות משתמשים עם עזיבתם את המכון או עם שנוי בתפקידם.

במרכז החישובים נעשו מספר צעדים לשיפור מנגנוני הטיפול במשתמשים, ובין היתר הוקם שירות מרכזי לרישום משתמשים חדשים וביטול חשבונות משתמשים שאינם פעילים. מידע ש"נגזר" בחתכים שונים ממערכת זו, הועבר בצורה מחזורית לקבוצות השונות במרכז החישובים, כאשר כל קבוצה פיתחה מנגנון פרטי משלה ליישום השינויים הנדרשים במערכות שבאחריותה.

מנגנון זה הכניס שיטת עבודה קבועה בנושא ניהול המשתמשים. יחד עם זאת, בקבוצת המחשבים האישיים נוכחו כי רק הפעולות הקשורות ברישום וגריעת משתמשים ממערכות NetWare (שירותי קבצים והדפסות) ו- GroupWise, עדיין מילאו חלק ניכר מזמנה של אחת העובדות בקבוצה. סטיב דרוק, ראש קבוצת המחשבים האישיים, מספר: "צוות הקבוצה כולל גם מפתח תוכנה, שהתגייס לשפר את המנגנון הקיים ופיתח מערכת ניהול משתמשים, המבצעת הגדרה או ביטול אוטומטי של חשבונות משתמשים ב NetWare וב- GroupWise.

מתרחבים לניהול זהויות

המוטיבציה להרחיב את מערכת ניהול המשתמשים באה לאחר שקבוצת לינוקס/יוניקס הביעה רצון בפתרון אוטומטי דומה, שישפר את המנגנון הקיים לטיפול בחשבונות משתמשים במספר רב של שרתי יוניקס ולינוקס. בשלב זה הוחלט על שנוי תפיסת ניהול המשתמשים בקבוצה, ועל מעבר להתבססות על מערכת Directory עם ממשק LDAP למטרת ניהול מרכזי. הקבוצה בחרה במערכת Directory Services של חברת Sun, אליה קושרו שרתי היוניקס והלינוקס במרכז החישובים.

בעזרתה של חברת "פרולינק ניהול זהויות" הוקמה במכון ויצמן למדע מערכת (Identity Manager (IdM של נובל. מערכת זו הוגדרה בראשיתה לבצע הקצאת חשבונות משתמשים לשירותים מבוססי יוניקס. המערכת נשענת על פקודות ממנגנון רישום המשתמשים המרכזי, ומגדירה אוטומטית אובייקטים במערכת ה- SunOne Directory Server . מערכת ה- IDM אחראית גם להקצאת Home Directory והרשאות מתאימות למשתמשים חדשים, ומטפלת בשנויים כמו עזיבה, רישום מחדש, מעבר אגף/מחלקה וכדומה.

בסמוך להפעלתה המקורית, הועברו לאחריות מערכת ה- IdM גם פעילויות ניהול המשתמשים למערכות NetWare ו- GroupWise. במקביל, הותקן והופעל רכיב שירות-עצמי לאיפוס סיסמא עבור משתמשי המחשב במכון.

מהלך זה איפשר הורדת עומס משמעותית ממחלקת תמיכת המחשבים. ביצוע שנוי סיסמא במסגרת מערכת IdM דואג לאיפוס סיסמת המשתמש בכל המערכות בהן מוגדר המשתמש באמצעות IdM, ולמעשה תורם לשיפור השירות למשתמשים.

במרוצת השנים האחרונות הוספה למערכת ניהול הזהויות בהדרגה, האחריות לניהול משתמשים בשורת מערכות נוספות, כולן מצריכות ניהול חשבונות והרשאות משתמשים. נכון להיום מקיפה מערכת ה IdM מספר יישומים ייעודיים, בסיסי נתונים ומערכות Directory של היצרנים אורקל, נובל ומיקרוסופט. בקשות לרישום חשבונות משתמשים או גריעתם ממערכות שונות מתבצעות למעשה באופן כמעט מיידי, תוך מעקב ביצוע ויכולת מתן "תמונה מלאה" על הרשאותיו של כל סטודנט, חוקר או עובד מנהלה.

למעשה, עם התרחבות והתחדשות מרכיבי תשתית ה IT במכון ויצמן למדע, נוספת למערכת ה IdM פונקציונליות חדשה ומקושרות אליה מערכות נוספות באופן שוטף. דוגמאות מענינות לכך הן מערכת הזדהות לתשתית הרשת ומערכת ERP חדשה המיועדת להפעלה במכון.

"השימוש במערכת IdM של נובל מייעל את תהליכי ניהול המשתמשים וההרשאות במכון. המערכת הוכחה כיעילה ואמינה במרוצת השנים האחרונות" מסכם סטיב דרוק. "קיומה של מתודולוגיה מוכחת ומוכרת לניהול הרשאות, מאפשר לנו לקלוט ביתר קלות מערכות תוכנה חדשות, אותן אנו משלבים באמצעות תקנים פתוחים כמו LDAP, או על ידי ממשקים של מערכת ניהול הזהויות".