Unser Univention App Center bietet viele Open Source-Anwendungen aus allen Bereichen an, die Sie mit wenigen Klicks zu Ihrer UCS-Umgebung hinzufügen können. Ob Groupware-, CRM- oder Backup-Lösung – die Liste der Apps wächst ständig weiter. Wenn Sie diese Anwendungen in einer Windows-Umgebung einsetzen möchten, bietet UCS dafür einen besonders komfortablen Weg. Denn UCS lässt sich in bestehende Windows-Umgebungen, insbesondere in eine vorhandene Active Directory-Domäne, integrieren.
Nach solch einer Integration, die mit unserer Applikation „Active Directory-Verbindung erfolgt, arbeitet das Active Directory (AD) weiterhin als primärer Verzeichnisdienst, während UCS die AD-Domäne um genau die Open Source Software-Lösungen erweitern kann, die im App Center zur Verfügung stehen.
Programme wie ownCloud, Nextcloud, Kopano oder die Open-Xchange App Suite sind so auch für Benutzer einer AD-Domäne auf einfache Weise zugänglich. Auch der Administrationsaufwand erhöht sich nicht, weil UCS als Teil einer AD-Domäne deren Authentifizierungsdienste nutzt. Doppelte Nutzerpflege entfällt somit.
Im Folgenden erkläre ich Ihnen nun kurz, auf welche Art und Weise Sie UCS in eine vorhandene AD-Domäne einbinden können.
UCS und AD-Domäne: Integration oder Synchronisation
Univention Corporate Server können Sie auf zwei unterschiedliche Arten in eine bestehende AD-Domäne einbinden; in beiden Fällen hilft dabei unsere App Active Directory-Verbindung:
- Im ersten Fall wird UCS Mitglied einer AD-Domäne (AD bleibt primärer Verzeichnisdienst)
- Im zweiten Fall erfolgt ein Parallelbetrieb von AD- und UCS-Domäne (Synchronisation von Kontendaten, aber unabhängige Authentifizierungs-Mechanismen)
Wird der UCS-Server ein vollwertiges Mitglied einer AD-Domäne, nutzt UCS die AD-Authentifizierungsdienste und stellt diese auch den Open Source-Programmen aus unserem App Center zur Verfügung. AD bleibt der primäre Verzeichnisdienst und der UCS-Server bietet weiterhin die OpenLDAP-basierte Verzeichnisdienste an, die die im App Center gehosteten Apps benötigen.
Alternativ kann die App Active Directory-Verbindung Benutzer, Gruppen und Passwörter zwischen einer AD- und einer parallel installierten UCS-Domäne synchronisieren. Dies kann sowohl bidirektional als auch nur in eine Richtung geschehen. Die Authentifizierungs-Mechanismen arbeiten unabhängig voneinander.
Ich stelle Ihnen das erste Szenario vor und erkläre, wie Sie UCS als Mitglied einer AD-Domäne konfigurieren. Zunächst möchte ich aber kurz auf einige Besonderheiten hinweisen.
Technische Hintergründe – Die Rolle von OpenLDAP und Kerberos
Im „Member-Mode“, wie wir die Variante intern bei Univention nennen, gibt es einige technische Einschränkungen. Da UCS in diesem Betriebsmodus nicht das führende Identity-Management-System ist, schützt die Univention Management Console (UMC) bestimmte Nutzer- und Gruppenobjekte, die von AD-Werkzeugen verwaltet werden, vor Änderungen. So ist es dann nicht mehr möglich, die Kennwörter der Benutzer über die UMC zurückzusetzen, da die Passwortdatei nicht im OpenLDAP vorliegt.
Beachten Sie außerdem, dass der UCS-Server in diesem Modus kein klassischer Domänencontroller ist. Er ist Teil der AD-Domäne und damit der vom im AD bereitgestellten Kerberos-Infrastruktur beigetreten.
UCS als AD-Member einrichten
Nachdem Sie die App Active Directory-Verbindung über das Univention App Center installiert haben, klicken Sie auf „Modul öffnen“ und wenden sich der Konfiguration zu. Wählen Sie die Option „UCS als Teil einer Active Directory-Domäne konfigurieren (empfohlen)“, wenn AD die Hauptdomäne ist. Über „Weiter“ gelangen Sie zur Eingabemaske für die Domänenzugangsdaten. Geben Sie ins erste Feld die IP-Adresse des Windows-Servers oder den Namen der AD-Domäne ein. Darunter ist Platz für den Benutzernamen und das Passwort eines AD-Administratorkontos. Beachten Sie, dass dieses Konto berechtigt sein muss, neue Server und neue Benutzer anzulegen – ein lokales Administratorkonto zum Verwalten von Arbeitsplatz-PCs oder Endbenutzern ist nicht ausreichend. Klicken Sie anschließend auf „AD-Domäne beitreten“.
Nach kurzer Zeit sollten Sie die Meldung sehen, dass die Verbindung erfolgreich eingerichtet wurde. Der Konfigurationsassistent der App weist außerdem darauf hin, dass bereits verbundene UCS-Systeme der Domäne neu beitreten müssen, was Sie jeweils über das UMC-Modul „Domänenbeitritt“ auf dem jeweiligen Server erledigen. Klicken Sie auf „Fertigstellen“ und bestätigen Sie den Neustart der UMC-Server-Komponenten und des Webservers.
Wenn Sie das nächste Mal die Anmeldemaske sehen, loggen Sie sich als Administrator ein und geben jetzt das Passwort aus der AD-Domäne ein. Nach erfolgreicher Authentifizierung sehen Sie das Modul „Active Directory-Verbindung“. Es zeigt den Status des Verbindungsdienstes an und erlaubt das Einrichten einer SSL-Verschlüsselung sowie des Passwortdienstes.
Schritt für Schritt-Videoanleitung: UCS als Mitglied einer Windows Active Directory Domäne betreiben
In diesem Video erfahren Sie, wie Sie ein UCS-System mittels der App Active Directory Verbindung als Mitglied einer bestehenden Windows Active Directory Domäne betreiben.
Auf gute Zusammenarbeit!
Das Bearbeiten von Benutzern, Gruppen und Rechnern erfolgt weiterhin mit dem AD-Domänencontroller. Eine Ausnahme sind Attribute, die nur in UCS vorhanden sind, beispielsweise zum Aktivieren oder Konfigurieren von Drittanbieter-Apps wie ownCloud, Nextcloud, Kopano oder Open-Xchange.
Dank Active Directory-Verbindung können Sie Ihre bestehende Windows-Domäne um alle Funktionen von UCS erweitern. Univention Corporate Server stellt als Plattform Open Source-Anwendungen für alle bereit – mit den gewohnt komfortablen Installations- und Konfigurationsroutinen. Sollten Sie Fragen oder Anregungen haben, hinterlassen Sie einen Kommentar oder besuchen Sie uns doch in unserem Forum.
Weitere Artikel, die wir empfehlen können
Kurz erklärt: Samba / Microsoft Active Directory
Die Zöpfe müssen ab – Ablösung des Active Directory Passwortdienstes