Wie funktioniert die LRZ-Benutzerverwaltung technisch?

In der LRZ-Benutzerverwaltung werden prinzipiell vier Arten von Datensätzen erfasst:

Dabei kann eine Einrichtung beliebig viele Projekte haben; jeder Benutzer gehört zu einer oder mehreren Einrichtungen und kann beliebig viele Kennungen haben.

Das Eintragen von Einrichtungen und Projekten wird von den LRZ-Betreuern durchgeführt - siehe hierzu Was macht ein LRZ-Betreuer?

Master User pflegen die Kontaktinformationen von Benutzern und können Kennungen anlegen und löschen - siehe hierzu Warum muss ich beim Anlegen bzw. Bearbeiten einer Kennung auch die persönlichen Daten des Benutzers eingeben? 

Benutzer können z.B. ihre E-Mail-Adressen selbst konfigurieren und sich über ihre aktuelle Plattenplatzbelegung informieren.

Die LRZ-Betreuer, die Master User und die Benutzer verwenden dabei das IDM-Portal als web-basierte Schnittstelle zur LRZ-Benutzerverwaltung.

Die Daten werden LRZ-intern in einem so genannten Verzeichnisdienst hinterlegt, der im Unterschied zu einer relationalen Datenbank wie MySQL nicht über die Sprache SQL angesteuert wird, sondern über das Protokoll LDAP. Dieses hat den Vorteil, dass eine Reihe von LRZ-Diensten wie VPN direkt auf den zentralen Datenbestand zugreifen kann (da die Dienste "LDAP-fähig" sind) und keine eigene Benutzerverwaltung benötigt. Nur noch wenige LRZ-Dienste sind nicht direkt an den Verzeichnisdienst angebunden, sondern werden regelmäßig mit den für sie relevanten Benutzer- und Kennungsdaten versorgt. Deshalb kann es zu kurzen Verzögerungen kommen, bis neue Kennungen verwendet werden können - siehe hierzu Wie lange dauert es, bis eine neu angelegte Kennung verwendet werden kann?

Der Einsatz von Verzeichnisdiensten hat darüber hinaus den Vorteil, dass ausgewählte Daten aus Verzeichnisdiensten anderer Einrichtungen relativ einfach in den LRZ-Datenbestand übernommen werden können; entsprechende Verfahren werden zum Beispiel eingesetzt für Kennungen der LMU, der TUM und der Hochschule München.