SURF ist eine Kooperative niederländischer Bildungs- und Forschungseinrichtungen. Unsere Organisation will unter anderem die Forschung mit HPC (High Performance Computing) fördern. Wir betreiben nationale Super-Computer-Cluster und stellen Rechenleistung, Datentransport, Datenmanagement und -analyse für die niederländische akademische Gemeinschaft bereit, z. B. für Universitäten, Fachhochschulen, berufsbildende höhere Schulen (MBO), UMCs und Forschungseinrichtungen.

Bei SURFsara, einer Tochtergesellschaft von SURF mit Sitz in Amsterdam, beschäftigen wir derzeit 135 Mitarbeitende, die Windows, macOS und Linux auf dem Desktop nutzen. In dieser heterogenen Umgebung betreiben wir einen zentralen LDAP-Server. Außerdem verwenden wir Samba, um Dateien, Ordner, Laufwerke und Drucker im gesamten Netzwerk freizugeben. Als ich 2015 eingestellt wurde, bestand eine meiner ersten Aufgaben darin, ein Upgrade von Samba 3 auf Version 4 durchzuführen. Ich wollte nicht den Samba-eigenen LDAP-Server verwenden, sondern mich an unsere OpenLDAP-Schemata halten. Es stellte sich allerdings schnell heraus, dass die Synchronisierung zwischen OpenLDAP und Samba 4 eine echte Herausforderung war. Während meiner Recherchen entdeckte ich dann Univention Corporate Server und mir war klar: „Problem gelöst!“

In diesem Artikel beschreibe ich unser Setup und erläutere, wie wir UCS als Identitätsmanagement intern bei SURFsara einsetzen.

Die Ausgangslage

Als ich meine Arbeit bei SURFsara begann, liefen OpenLDAP und Samba 3 ausgezeichnet, aber letztendlich wollten wir auf Samba 4 umsteigen. Die neuere Version unterstützt unter anderem Group Policy Objects (GPO), die wir in unserer Arbeitsumgebung dringend benötigten. Dank dieser Gruppenrichtlinien ist eine zentrale Konfiguration von Vorgaben für Rechner und Benutzer möglich. Während des Upgrades auf Samba 4 stieß ich beim Synchronisieren der Gruppen-Mitgliedschaften und Passwörter zwischen OpenLDAP und Samba 4 allerdings auf einige Probleme.

Ich suchte nach einer bestehenden Lösung, die mir weiterhelfen würde, und entdeckte schließlich Univention Corporate Server – eine Linux-basierte Open Source Software, die genau das tut, was wir brauchen, und darüber hinaus professionellen Support bietet. Wir wollten definitiv keine proprietäre Software einsetzen, also richteten wir vor etwa drei Jahren UCS für den internen Gebrauch hier bei SURFsara ein.

Umstellung auf UCS

Das für uns wichtigste Feature ist der S4 Connector, der den OpenLDAP- und den Samba-LDAP-Dienst miteinander verbindet. Er synchronisiert die Benutzer-, Passwort- und Gruppen-Mitgliedschaften zwischen Samba 4 und OpenLDAP, d. h. er ist auf der UCS-Seite mit einer Gruppe in der Active Directory-Domäne verbunden.

Zuerst stellten wir innerhalb von UCS auf den Legacy-Modus von Samba 4 um, und rund einen Monat später wechselten wir dann zu AD. Ich bin wirklich beeindruckt vom S4 Connector – er erfordert keine komplexe Konfiguration und funktioniert einfach. Es war kein Problem, unsere vorhandenen OpenLDAP-Schemata zu laden. Wir haben schließlich auch die Dateiserver durch UCS-Server ersetzt und werden dort künftig unsere Backups für die macOS-Clients speichern.

Univention Corporate Server läuft auf physischen Maschinen in unserem eigenen Rechenzentrum.

Fazit: Gute Dokumentation, großartiger Support

Für uns war es wirklich wichtig, das OpenLDAP-Setup und vorhandene Schemata zu übernehmen, und die oberste Priorität war, eine Open-Source-Lösung zu finden, die Samba 4 und OpenLDAP miteinander verbindet. Dank Univention Corporate Server ist das alles möglich.

Das UCS-Onlinehandbuch ist ausführlich und gut geschrieben. Darüber hinaus schätzen wir den Univention-Support – alle hier bei SURF sind glücklich mit der aktuellen Lösung.


Werde Teil unseres Teams!

  • IT Solution Architect
  • IT-Projektleitung
  • Linux DevOps Engineer
  • u. v. m.

Zu den Stellenangeboten

Image: Univention Pinguin: join us

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Paul Reemeijer

Manager Internal Automation bei SURFsara

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.