Das Max-Planck-Institut (MPI) für Kognitions- und Neurowisschenschaften in Leipzig beschäftigt sich mit der Erforschung kognitiver Fähigkeiten und Gehirnprozesse beim Menschen. Untersucht werden dafür u. a. höhere Hirnfunktionen wie Sprache, Emotionen und Sozialverhalten oder plastische Veränderungsvermögen des Gehirns. Eine einwandfrei funktionierende IT ist dabei unerlässlich. Daher sorgen wir in der IT-Abteilung des Instituts mit sechs Mitarbeitern dafür, dass die 600 Nutzer-Accounts an den drei Standorten des Instituts möglichst reibungslos funktionieren. Rund 200 der ca. 1.000 Hosts sind Windows-Laptops oder PCs. Der Rest der Geräte sind überwiegend Linux-Workstations.
Open Source und OpenLDAP als Anforderungen gesetzt
Bisher haben wir im Institut mit einem selbstgebauten OpenLDAP und Samba 3, Citrix als zentralen Windows-Dienst und Kerberos als Single Sign-on-Lösung gearbeitet. Als wir für neue Windows-Versionen und Terminal-Server auch ein neues Active Directory benötigten, fassten wir als IT-Verantwortliche Ende 2016 den Beschluss, die Nutzerverwaltung des Max-Plack-Instituts auf UCS zu migrieren. Denn nach einigen Recherchen identifizierte unsere Abteilung UCS als einziges ausgereiftes Produkt, bei dem LDAP das führende System darstellt und das in der Lage ist, eine zentrale Nutzerverwaltung sowohl für Windows als auch für Linux bereitzustellen. Ebenfalls ausschlaggebend für unsere Entscheidung war, dass UCS zu 100 % Open Source ist, über eine komfortabel zu bedienende Weboberfläche verfügt und ein eigenes App Center mit Erweiterungen zu UCS und Drittlösungen mitbringt.
Umstellung im laufenden Betrieb mit Hilfe eines cross realm trusts
Eine weitere Anforderung an UCS war, dass die Migration im laufenden Betrieb und ohne größere Ausfälle erfolgen sollte. Dabei erschien uns eine schlagartige Migration zu riskant, eine Simulation gleichzeitig aber als zu aufwendig bzw. nicht aussagekräftig genug. Daher fiel die Entscheidung auf eine Migration mit Hilfe eines cross realm trusts im laufenden Betrieb.
Technische Details – Befehle udm und ldapmodify für reibungslose Synchronisation
UCS wurde parallel zu bestehenden Lösungen bereitgestellt. Im Produktivbetrieb erfolgte, in einer Übergangsphase alle fünf Minuten, die Synchronisation der Nutzer und Gruppen von der alten LDAP-Version hin zum UCS-LDAP auf Basis der Befehle udm und – z. B. für den Passwort-Hash – ldapmodify. Außerdem wurden die aktuellen Kerberos-Keys in den dezidierten Heimat KDC von UCS synchronisiert.
Durch die regelmäßige Synchronisation fielen uns noch weitere Dinge auf, die nach und nach in das Synchronisationsskript eingeflossen sind. So wurde festgelegt, dass die UIDs und GIDs in UCS und in dem alten LDAP aus unterschiedlichen Wertebereichen vergeben werden, damit es bei der regelmäßigen Synchronisation nicht zu Kollisionen kommt.Auch musste beim Setzen der RID darauf geachtet werden, dass mittels einer UCR-Variable festgelegt wird, dass diese auch ins Samba synchronisiert werden soll. Andernfalls würde die gesetzte RID durch die vom Samba vergebene überschrieben werden.
Die Herausforderungen – LDAP Kerberos Authentifikation
Bei UCS hängt der LDAP-Server am Samba-Kerberos. Da das MPI den dedizierten Heimdal KDC von UCS nutzt und sich Samba-Kerberos und KDC nicht vertrauen, musste als Workaround definiert werden, dass der Kerberos-Schlüssel für den LDAP-Principal aus dem Samba KDC exportiert und in den Heimdal KDC importiert wurde, so dass die Schlüssel und die Realms nun in beiden KDCs identisch sind. Eine kleine Herausforderung stellte auch die Vereinigung der doch recht umfangreichen Verzeichnisdienst-ACLs des Instituts mit denen von UCS dar, ohne dass diese sich gegenseitig in die Quere kommen.
Für die Zukunft geplant: weitere LDAP-Anbindungen, Einsatz von Radius und Erweiterung der Nutzerobjekte
Für die Zukunft möchten wir den Einsatz von UCS im Institut weiter ausbauen. So sollen bspw. noch einige weitere im Einsatz befindliche Dienste, die auf ältere bzw. speziellere Passwort-Hashes angewiesen sind, an das LDAP von UCS angebunden werden. Auch soll die Möglichkeit geschaffen werden, einen Namen für ein bestimmtes Interface direkt am Host-Objekt über die Univention Management Console zu vergeben und das Management von VLAN lds für die Zuordnung über einen Radius Server zu ermöglichen. Als weiteres Projekt geplant ist ein Workflow für das Anlegen von Nutzern, bei dem eine bestimmte Nutzergruppe nur allgemeine Informationen an einem Nutzerobjekt eintragen kann und wir in der IT-Abteilung anschließend technische Attribute wie das Home-Verzeichnis u. s. w. ergänzen.
Fazit: UMC und das zentrale Nutzermanagement sorgen für Erleichterung
Rückblickend lässt sich resümieren, dass vor allem die komfortable Weboberfläche von UCS – die UMC – und das zentrale Nutzermanagement von Windows- und Linux-Clients im laufenden Betrieb für einige Erleichterung sorgen. Sehr hilfreich während des Projekts waren die von UCS unterstützten Upgrade-Pfade und der Univention Support, der für Fragen jederzeit zur Verfügung stand. Auch werden in Zukunft Updates deutlich einfacher vonstatten gehen. Wünschenswert wäre jetzt noch die Möglichkeit, einfachere Eingabemöglichkeiten für neue Host-Objekte mit mehreren Interfaces in diverse VLANs zu haben.
