Rechteverwaltung in OpenStack mit Tücken
Halbfertiger Entwurf
In Virtualisierungsumgebungen gehört eine eigene Nutzerverwaltung samt feingliedriger Rechtevergabe mittlerweile zum guten Ton. OpenStack gibt eindrucksvoll Zeugnis davon, wie man das Thema besser nicht angehen sollte.
Cloud-Pakete wie CloudStack oder OpenStack haben sich in den letzten Jahren als logische Evolution einfacher Virtualisierung am Markt etabliert. Zum guten Ton gehört bei allen Ansätzen dieser Art mittlerweile eine eigene Nutzerverwaltung: Die Idee, nur einen „Admin“-Nutzer mit Vollzugriff zu haben, hat längst ausgedient. Gerade bei Clouds kommt eine weitere Dimension dazu: Ist eine Public Cloud das Ziel des Ansatzes, wie bei OpenStack, ist funktionierende Nutzerverwaltung Pflicht.
Genauso notwendig ist es, für die jeweiligen Nutzer innerhalb der Umgebung unterschiedliche Rechte zu vergeben. Das entspricht der Wirklichkeit in den meisten Unternehmen: Administratoren dürfen neue Systeme starten oder alte abschalten; Praktikanten dürfen meist nur zusehen und der Chef darf alles – auch neue Admin-Accounts anlegen. Die Nutzerverwaltung einer Umgebung muss diese Hierarchie adäquat abbilden können. Den OpenStack-Entwicklern ist das offensichtlich klar, denn sie spendierten ihrer Cloud-Umgebung mit dem Identity-Projekt Keystone schon recht früh eine Nutzer- und Rechteverwaltung.