Mit (selbsterstellten und signierten) Zertifikaten Kommunikationsprozesse in UCS absichern

Zertifikate – warum und wozu

In diesem Artikel möchte ich Ihnen einen Einblick in das Thema „Absicherung des internetbasierten Austausches von Informationen durch Zertifikate“ geben. Dazu werfe ich einen kurzen Blick zurück auf die Anfänge des Internets und die Verwendung von Protokollen wie HTTP, SMTP, POP… und deren verschlüsselten Transport über SSL bzw. TLS. Vor allem möchte ich Ihnen aber erklären, wie Sie mit Univention Corporate Server öffentliche Zertifikate für die Absicherung Ihrer Datenübertragung nutzen können oder aber auch mit dem Tool Let‘s Encrypt selber vertrauenswürdige Zertifikate dafür erstellen können. Ganz sicher und auch noch kostenfrei.

Anpassungen in Ihrer UCS@School-Umgebung zum Schuljahreswechsel

Ein Schuljahreswechsel ist für viele Beteiligte in den Schulen und auch bei den Schulträgern ein sehr aufwendiger Prozess – zum neuen Schuljahr verlassen viele Schüler*innen eine Schule und ein neuer Jahrgang kommt hinzu. Dementsprechend viele Benutzerkonten für die Schüler*innen müssen gelöscht und ganz neue Konten müssen angelegt werden. Gleichzeitig wechseln die allermeisten Schüler*innen die Klassenstufe und benötigen neue Gruppenzugehörigkeiten und Berechtigungen. Um diese Aufwände für die beteiligten IT-Administratoren und das Verwaltungspersonal in den Schulen so gering wie möglich zu halten, versuchen wir, in UCS@school die dafür nötigen Prozesse so einfach wie möglich zu halten. Im folgenden möchte ich kurz darstellen, welche Möglichkeiten es gibt und zwei Varianten vorstellen, die beide ihre Vor- und Nachteile haben:

Release UCS 4.4-5 bringt Verbesserungen beim Single Sign-on, den Self Services, mehr Performance beim LDAP und Kompatibilität zu Python 3

Das Release von Version 4.4-5 von Univention Corporate Server (UCS) bringt eine Reihe technischer Neuerungen für das Single Sign-on von Benutzer*innen an auf UCS angebundene Applikationen. Ebenfalls neue Funktionen gibt es beim UCS Self Service. Nutzer*innen können sich über den User Self Service nun auch selbst an einer UCS-Domäne registrieren und ein Benutzerkonto anlegen, einen Benutzernamen und Passwort vergeben und weitere Informationen hinterlegen. Performance Verbesserungen im LDAP-Verzeichnisdienst haben dazu geführt, dass die Replikation von Gruppen beschleunigt wurde. Und als Vorbereitung für UCS 5.0, das Ende dieses Jahres veröffentlicht werden soll, hat unsere Entwicklungsabteilung in über 45 Paketen von UCS die Kompatibilität auf Python 3 hergestellt, sodass beim Upgrade auf UCS 5.0 die entsprechenden Codeteile in UCS sowohl für Python 2 als auch Python 3 ausgeführt werden. Außerdem haben wir ein Preview auf das neue Portal von UCS 5.0 als App im App Center für Tester veröffentlicht, das bereits wichtige technische, neue Funktionalitäten wie die Einbettung von Apps direkt in die Portalseite mitbringt.

Single-Sign-on-Anmeldung für Applikationen auch für Gruppen anlegen

SSO mit SAML für UCS-Gruppen
Seit der Einführung der Unterstützung für Single Sign-on via Secure Authentication Markup Language (SAML) in Univention Corporate Server (UCS) kann ein Administrator am Benutzerobjekt hinterlegen, an welchen Anwendungen, im SAML Kontext Service Provider genannt, sich ein Benutzer via Single Sign-on anmelden darf. Für Administratoren in Organisationen mit vielen Benutzern kann diese Zuweisung aufwendig sein.

Digitale Souveränität ist unverzichtbare Voraussetzung für Resilienz unserer IT-Systeme – Erste Lehren aus der Corona-Krise

Wir befinden uns im Übergang in eine „neue Normalität“, die gleichwohl anders aussehen wird als die Normalität vor der Corona-Pandemie. Sukzessive werden Lebensbereiche hochgefahren, die sich bis vor Kurzem in einer noch nie dagewesenen Ausnahmesituation befanden. Das war mit vielen Belastungen verbunden, hat aber auch neue und wertvolle Erkenntnisse erbracht, wie wir unser Leben organisieren können. Der Stellenwert digitaler Kommunikationsmöglichkeiten ist enorm gestiegen, die Nutzung digitaler Technologien wurde enorm beschleunigt. Dabei wurde deutlich, dass es wichtig ist, Systeme zu haben, die unabhängig von einzelnen Anbietern oder gar von fremden Staaten funktionieren, die widerstandsfähig sind und mit denen schnell und effektiv auf eine Krise reagiert und wieder ein stabiler Zustand erreicht werden kann.

Zwei Standards aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect

Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login mit ihrem Benutzernamen und Passwort Zugriff auf unterschiedlichste Applikationen, die mit UCS integriert werden, zu geben.
Die beiden Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect stehen schon länger für die Authentifizierung von Nutzern an UCS zur Verfügung. Bisher hat es sich bei den beiden Technologien aber um voneinander getrennte Welten gehandelt. Wenn ein Teil der Web-Dienste SAML und ein anderer Teil OpenID Connect für die Authentifizierung gegen das Identity Management von UCS nutzt, war es notwendig, dass sich Anwender in Umgebungen mit mehreren Diensten zweimal einloggen. Mit Unterstützung des Teams von Kopano konnten wir eine Erweiterung der App „OpenID Connect IDP“ im App Center veröffentlichen, die die beiden Standards miteinander integriert und so ein einziger Authentifkations-Vorgang durch die Endanwender ausreichend ist.

Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.

Passwort-Hashes zwischen MS Active Directory und UCS-Domäne abgleichen

Schaubild: UCS Kerberos-Hashes

Mit der Version 4.4-4 von Univention Corporate Server (UCS) ist das Synchronisieren von Passwort-Hashes zwischen einer Microsoft Active Directory Domäne und einer UCS-Domäne deutlich sicherer und vor allem weniger fehleranfällig geworden. Während frühere Versionen des AD Connector lediglich NTLM-Hashes abgleichen konnten, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die so genannten Kerberos Hashes (auch Kerberos Keys genannt), mit denen ein Single-Sign-on an unterschiedlichen Anwendungen möglich ist.

Automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen einrichten

In der Voreinstellung können UCS-Benutzer*innen ihr Kennwort beliebig oft falsch eingeben, ohne dass das System sie aussperrt. Um Brute-Force-Attacken zum Knacken der Kennwörter zu erschweren, können UCS-Administratoren eine automatische Sperre einrichten, die einen Account nach einer frei definierbaren Anzahl von Fehlversuchen am Zutritt hindert.
Univention Corporate Server bietet mehrere Methoden zum Authentifizieren und Autorisieren. In diesem Blogartikel zeige ich Ihnen, wie Sie über PAM-Stack, OpenLDAP und Samba jeweils fehlgeschlagene Anmeldeversuche im System protokollieren und wie Sie als Administrator die Anzahl der erfolglosen Logins einschränken.