Simoit Logo  

Entwicklungsstatus 

Am 25. Oktober traffen sich die Projektpartner, um aktuelle Projektdetails zu besprechen und den Stand der Entwicklung zu diskutieren. Dabei wurde auch auf die Ergebnisse des Arbeitspakets 3 eingegangen, die abschließend präsentiert wurden.

Das SIMOIT untergliedert das Mobile Server Gateway (MSG) nach unterschiedlichen Modulen. Diese wurden auf die Entwicklungspartner verteilt. Momentan wird daher an dem Authentifizierungsmodul, dem VPN-Modul und dem TNC-Modul gearbeitet. Für das Authentifizierungsmodul ist die DECOIT GmbH zuständig. Auf der Entwicklungsplattform wurde ein Win2003 Server mit eigener AD-Domain eingerichtet. Zusätzlich wird ein NTP-Server angesprochen, da dies bei Kerberos notwendig ist. Die Softwarepakete von FreeRADIUS wurden mit TLS-Konfiguration aufgesetzt, inkl. eines Zertifikatsservers. Dieser ist bisher beim Pilotkunden ThyssenKrupp Krause noch nicht im Einsatz, soll aber innerhalb des Projekts getestet werden. Für die Anbindung an die AD wird Samba verwendet. Die EAP-Konfiguration legt die genutzten Authentifizierungsverfahren fest. In der Entwicklungs-/Testumgebung wurden die Ethernet-Switches mit 802.1x-Authentifizierung konfiguriert, inkl. eigenem VLAN. Der Switch ist in diesem Fall der Authenticator und soll später durch das VPN-Modul ersetzt werden. Zusätzlich ist die Abfrage der Software-Stände über das Inventory noch nicht eindeutig. So konnte in der jetzigen Testumgebung bereits eine Quarantänezone eingerichtet werden, die bei inkorrektem Login das Laptop in diese Zone verweist.

Komponenten der Entwicklungsumgebung

Das VPN-Modul wird von der HS Bremen implementiert. Auf der Client-Seite kommt dabei der Microsoft IPsec Client zum Einsatz. Die Anbindung zum RADIUS-Server wird mittels PPP umgesetzt. PPP übermittelt den Benutzernamen und eine Zertifikats-ID. Der RADIUS-Server übergibt anschließend die Firewall- und Routing-Information. Als Vorteil bei den Tests stellte sich heraus, das der Name des Nutzers und das Hardware-Zertifikat beide zur Authentifizierung notwendig sind, was eine Basisanforderung des Projektes war. Das heißt, ein einfacher User-Login reicht nicht aus und muss durch ein Hardware-Zertifikat zusätzlich belegt werden. Eine zweite Schnittstelle sollte für die virtuellen Rechner der Entwicklungsumgebung eingerichtet werden, damit es keine VPN-Probleme gibt. Zwar wird vom TNC-Ansatz auf der Client-Seite leicht abgewichen, weil IKEv2 über IPsec nicht zum Einsatz kommt, aber auf der Serverseite wird TNC komplett unterstützt. Momentan kommt aus Performance- und Softwaregründen dies auch nicht in Frage. Eine spätere Erweiterung stellt aber kein Problem dar.

Das TNC-Modul, welches vom TZI entwickelt wird, hält wie erwähnt Server-seitig den Standard komplett ein. Dadurch muss momentan auch keine große Anpassung des VPN-Servers erfolgen; d.h. das OSS-Projekt kann ohne Änderungen direkt verwendet werden. Der TNC-Server wird anschließend im RADIUS-Server integriert. Das Framework "lib.tnc" wurde ebenfalls implementiert. Software-Updates werden über einen Validator beim Inventory (Schnittstelle IF-IMV: API musste dafür entwickelt werden) abgefragt.

Die Entwicklungsplattform soll Anfang Januar in eine Testplattform beim Pilotkunden umgewandelt werden. Das Testen der Schnittstellen bei ThyssenKrupp Krause ist dann erst richtig möglich, da dann die sortigen Systeme angeschlossen werden können. Die Ergebnisse des AP3 brachten zum Vorschein, dass die Anforderungen von ThyssenKrupp Krause an eine Softwareverteilungslösung nicht innerhalb von SIMOIT umsetzbar waren. Das vorhandene Softwareverteilungssystem von ThyssenKrupp Krause genügt aber bereits den gesetzten Anforderungen, weshalb es im SIMOIT-Projekt weiter verwendet wird. Das Risiko wird durch die Einhaltung von Prevention Policies zusätzlich minimiert.

Bis Anfang Dezember will man den ersten großen Meilenstein des Projekts umgesetzt und präsentiert haben.

 

Zufallsbild