Screenshot UMC with App Center

Auf dem Univention Summit im Januar habe ich über den Status von UCS und die Roadmap berichtet. Es hat sich jedoch seitdem einiges getan. Nachdem wir vor Kurzem an dieser Stelle bereits über UCS 4.1-1, das erste Point Release von Univention Corporate Server 4.1, berichteten, wird es nun Zeit zusammenzufassen, wie es in der näheren Zukunft weitergehen soll.

In der vierten Generation erfüllt UCS drei Funktionen: erstens als Laufzeitumgebung für Apps, zweitens als App-Managementsystem und schließlich als Lösung für das einfache Setup aller Server in On-premise- und Cloud-Umgebungen.

Am wichtigsten sind dabei die Apps. Vor drei Jahren wurde unser App Center geöffnet; 81 Anwendungen listen wir heute im Katalog. Unser Ziel, das App Center für Dritte zu öffnen, ist eindrucksvoll erreicht: Gegenwärtig stammen 56 Apps von externen Entwicklern, Tendenz weiter steigend. Zum Steigen gleich mehr.

Übersicht App Katalog


81 Apps – Fokus auf Enterprise-Anwendungen

Der Fokus liegt – auch künftig – auf Enterprise-Anwendungen. Beispiele: die App Suite von Open-Xchange und Zarafa Webmeetings. Im Katalog finden sich aber auch Infrastruktur-Apps wie das Client-Managementsystem opsi und Kaspersky Security für Mailserver. Bei 25 Apps handelt es sich um Univention-Entwicklungen beziehungsweise von uns gepflegte Anwendungen, die als Komponenten von UCS fungieren. Dazu zählen unter anderem Virtual Machine Manager und der Active Directory-kompatible Domänencontroller auf Samba-4-Basis.

Open-Xchange Logo
Zarafa Outlook Logo
opsi logo

Letzterer ist in der aktuellen Version 4 in UCS 4.1 implementiert. In diesem Zusammenhang prüfen wir derzeit, wie Microsoft Exchange 2013 an eine UCS-4.1-Domäne angebunden werden kann. Dazu demnächst mehr in diesem Blog. Mit dem Virtual Machine Manager lassen sich bereits KVM-Instanzen in der lokalen Domäne, virtuelle Maschinen in Open Stack und Amazon Web Services (AWS) administrieren und zwar von einer Single-Server-Lösung mit wenigen virtuellen Maschinen bis hin zu Multi-Server-Lösungen mit hunderten virtuellen Maschinen. Die KVM-Pakete wollen wir mit dem Update auf UCS 4.2 aktualisieren.

Außerdem: Mailserver und Monitoring

Weitere Apps: 2015 wurde der Mailserver Dovecot in UCS aufgenommen. Jetzt sind wir dabei, einen Konfigurations-Wizard für das einfache Mailserver-Setup zu entwickeln, die Fetchmail-Integration zu verbessern und Sicherheits-Features wie SPF, DKIM und DANE zu implementieren.

Akuten Handlungsbedarf gibt es beim Monitoring: Nagios haben wir seit Langem in UCS integriert. Icinga 1, ein Fork von Nagios, ist ebenfalls im App Center. Beide sind in den gegenwärtigen Releases veraltet, da sehen wir Handlungsbedarf. Auf welche von beiden Lösungen wir künftig setzen, hängt jedoch von weiteren Untersuchungen ab, was Kompatibilität und Zukunftssicherheit angeht. More as it comes …

81 Apps insgesamt, Stand heute, und es sollen stetig mehr werden. Denn in einer großen Auswahl an innovativen Anwendungen liegt der Mehrwert für UCS-Anwender im Enterprise. Für Univention liegt darin allerdings eine nicht zu unterschätzende Herausforderung. Denn nicht alle Apps sind mit derselben Umgebung zufrieden. So läuft es beim Erstellen dynamischer Webseiten ziemlich sicher darauf hinaus, dass unterschiedliche PHP-Versionen gefahren werden müssen. Und das ist nur ein Beispiel; der Wartungsaufwand steigt unaufhörlich mit jeder neuen App und mit jedem UCS-Update.

App-Ecosystem wächst mit Docker

Die Lösung ist Docker. Davon sind wir überzeugt und deshalb haben wir Docker, womit Anwendungen in Container gepackt und Container technology Docker Logosowohl voneinander als auch gegen das System isoliert werden, mit UCS 4.1 in das App Center integriert.

Diesen Weg konnten wir freilich nur gehen, weil wir uns der Security-Herausforderungen bewusst sind: Bei Scans von Docker-Images im November 2015 stellten die Entwickler von Core OS unter anderem fest, dass 80 Prozent der Container potentiell anfällig für Heartbleed waren – anderthalb Jahre, nachdem diese Lücke in OpenSSL eigentlich schon geschlossen war. Wir haben deshalb bei der Integration von Docker in UCS besonders darauf geachtet, dass Container sehr einfach aktuell gehalten werden können.

Mit Docker verhindern wir, dass sich UCS-Updates unterschiedlicher Apps beeinflussen und kritische Systemzustände hervorrufen. Die Idee geht in die Richtung einer vollständig sicheren Kapselung – nicht nur von Apps gegeneinander, sondern auch gegen das System selbst. Hierzu forschen wir übrigens auch gemeinsam mit dem DFKI, dem Deutschen Forschungszentrum für künstliche Intelligenz.

Wir werden sowohl neue Anwendungen als Container ins App Center stellen als auch bereits installierte Apps in Docker überführen. Für neue Apps sind wir mit deren Herstellern in engem Kontakt. So gab es passend zum Univention Summit Ende Januar mit TecArt die erste Veröffentlichung einer Docker-basierten App. Im „Dock“ – also in Arbeit – befinden sich gegenwärtig das  Projektmanagement-Tool Jira und die Multiplattform-Verwaltung FileWave. More to come …

Migrationshilfe auf Docker für Third Parties

Beim Umwandeln bereits installierter Apps in Docker-Container haben wir uns zunächst kleinere Apps vorgenommen: den Collaboration-Editor Etherpad und die Terminfindungs-Lösung Dudle. Umfangreichere Apps folgen, wenn wir über ausreichend Erfahrung verfügen. Was wir schon gemerkt haben: Die Umwandlung ist nicht trivial. Aber wir sind zuversichtlich, noch in diesem Jahr deutliche Fortschritte zu machen.

etherpad logo
Dudle Logo

Wenn es soweit ist, werden Softwarehersteller die Wahl haben, selbst Docker-Container für das App Center zu entwickeln oder uns Debian-Pakete zu liefern, aus denen wir dann – kostenfrei – Container erstellen. Und schließlich wird uns die Offenheit, die Docker konzeptionell mit sich bringt, sogar in die Lage versetzen, unser App Center über die UCS-Welt hinaus zu erweitern und künftig auch Apps anzubieten, die UCS nicht nativ unterstützen. Mit Jenkins haben wir vor einigen Tagen die erste native Docker-App im App Center veröffentlicht. Dies war für uns ein wichtiger Schritt und wird uns helfen, den Aufwand der ISVs für die Bereitstellung von Apps zu reduzieren.

Und noch eine Perspektive eröffnet sich mit Docker, nämlich diejenige auf Microservices, also auf eine Architektur aus weitgehend entkoppelten, wiederverwendbaren Programmmodulen, die sich mithilfe sprachunabhängiger APIs zu komplexen Softwareanwendungen kombinieren und re-kombinieren lassen. Das setzt allerdings voraus, dass eine einzelne App gleichzeitig mehrere Container starten kann. Genau daran arbeiten wir momentan.

Und noch etwas zum Thema Apps: Wir haben für VMware, Virtualbox und KVM App Appliances veröffentlicht, also Kombinationen aus UCS-Laufzeitumgebung und den Apps selbst. Damit sollen sehr einfache Test- und Setup-Möglichkeiten geschaffen werden. Das wird dann richtig funktionieren, wenn wir die Appliances automatisch in den diversen Clouds verteilen können, was noch dieses Jahr der Fall sein soll. Nächster Schritt dann: den App-Herstellern die Möglichkeit geben, ihre Appliances mit ihrem eigenen Branding zu versehen.

UCS-Management mit SSO und Self Service

UCS 4.1 fungiert mit Blickrichtung Apps aber nicht nur als Laufzeitumgebung, sondern auch als App-Managementsystem – übrigens mit 30 Millionen (!) Benutzern in einem Projekt, das von unserem Professional Services Team begleitet wird.

Aus Nutzersicht bringt das etwa die komfortable Möglichkeit zum Single Sign-on im gesamten Firmennetz mit sich: egal, ob am Windows Client, der Groupware oder dem ERP-System. Das Managementsystem steht auch für Komfort und Sicherheit für Admins: Ist ein Benutzer gelöscht, kann er sich unwiderruflich an keiner App mehr anmelden, egal, ob auf einem eigenen Server oder in einer Cloud-Umgebung.

Möglich wird das Single Sign-on durch die Integration der Security Assertion Markup Language (SAML) in UCS 4.1. Aus unserem App Center bieten ownCloud und Open-Xchange bereits SAML-Unterstützung. Aber auch in der proprietären Welt lässt sich hiermit arbeiten, zum Beispiel mit Google Apps for Work und Office 365. Zu beiden Lösungspaketen arbeiten wir an Konnektoren, die bereits Ende dieses Monats zur Verfügung stehen werden. Zur Beruhigung: Passwörter und Passwort-Hashes werden natürlich nicht mit den proprietären Cloud-Diensten synchronisiert. Apropos Sicherheit: UCS 4.1 ermöglicht nun Zweifaktor-Authentifizierung, und zwar mit Schnittstellen zwischen unserem Management-Interface und der Lösung privacyIDEA.
Weitere Verbesserungen in puncto Management: UCS 4.1 verfügt nun über ein Self-Service-Modul, das User in die Lage versetzt, ihr Passwort mittels hinterlegter Telefonnummer oder E-Mail-Adresse eigenständig zurückzusetzen. Man macht sich das nicht ohne Weiteres klar, aber hier steckt echtes Sparpotenzial: Der Volkswagen-Konzern etwa wendet jährlich eine Million Euro für Passwort-Resets auf.

Continuous Improvement und UCS 4.2

Ständige Verbesserungen, ganz im Sinn der Idee des Continuous Improvement: Dazu tragen auch weiterhin unsere Errata Updates bei – für alle UCS-Versionen in der Wartung, nicht nur für das aktuelle 4.1 -, die dann wiederum von Zeit zu Zeit gebündelt als Patchlevel Releases herausgegeben werden. Ganz wichtig bleibt auch die Verbesserung der Usability: Es gibt Bedarf an kontinuierlichen Verbesserungen, zum Beispiel für die DNS- und DHCP-Verwaltung im Managementsystem oder für den Zugriff von mobilen Devices.
Wie geht es weiter nach UCS 4.1? Im Herbst 2016 wird 4.2 veröffentlicht – das dann auf Debian 8 (Jessie) basiert. Diese Umstellung der OS-Basis im Rahmen eines Minor Releases mag ungewöhnlich erscheinen. Aber wir meinen, dass es dazu keine Alternative gibt, weil die Softwarebasis sonst zu schnell veralten würde. Und mit Docker, dem App Center und unseren modernisierten Update-Mechanismen können wir sicherstellen, dass es keine Probleme gibt.
A propos Minor Releases: Ab sofort verlängern sich die Zeiträume zwischen den Minor Releases von sechs auf zwölf Monate für Kunden mit einer Enterprise Subscription. Und weil die Regel lautet, dass Security und Bugfixes für das aktuelle und das vorige Release geliefert werden, sind Anwender von 4.1 noch ein Jahr nach dem Erscheinen von 4.2 auf der sicheren Seite.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Stefan hat an der Fachhochschule Ostfriesland in Emden Informatik studiert und ab 2004 die Entwicklung und den Support bei Univention aufgebaut. Seit 2019 verantwortet er als COO die Bereiche Entwicklung, Professional Services, Support und die IT bei Univention. Bevor Stefan zu Univention wechselte, hat er als Softwareentwickler bei der Utimaco Safeware AG gearbeitet.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.