Mit (selbsterstellten und signierten) Zertifikaten Kommunikationsprozesse in UCS absichern

Zertifikate – warum und wozu

In diesem Artikel möchte ich Ihnen einen Einblick in das Thema „Absicherung des internetbasierten Austausches von Informationen durch Zertifikate“ geben. Dazu werfe ich einen kurzen Blick zurück auf die Anfänge des Internets und die Verwendung von Protokollen wie HTTP, SMTP, POP… und deren verschlüsselten Transport über SSL bzw. TLS. Vor allem möchte ich Ihnen aber erklären, wie Sie mit Univention Corporate Server öffentliche Zertifikate für die Absicherung Ihrer Datenübertragung nutzen können oder aber auch mit dem Tool Let‘s Encrypt selber vertrauenswürdige Zertifikate dafür erstellen können. Ganz sicher und auch noch kostenfrei.

Single-Sign-on-Anmeldung für Applikationen auch für Gruppen anlegen

Headerbild: SSO mit SAML für UCS-Gruppen
Seit der Einführung der Unterstützung für Single Sign-on via Secure Authentication Markup Language (SAML) in Univention Corporate Server (UCS) kann ein Administrator am Benutzerobjekt hinterlegen, an welchen Anwendungen, im SAML Kontext Service Provider genannt, sich ein Benutzer via Single Sign-on anmelden darf. Für Administratoren in Organisationen mit vielen Benutzern kann diese Zuweisung aufwendig sein.

Zwei Standards aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect

Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login mit ihrem Benutzernamen und Passwort Zugriff auf unterschiedlichste Applikationen, die mit UCS integriert werden, zu geben.
Die beiden Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect stehen schon länger für die Authentifizierung von Nutzern an UCS zur Verfügung. Bisher hat es sich bei den beiden Technologien aber um voneinander getrennte Welten gehandelt. Wenn ein Teil der Web-Dienste SAML und ein anderer Teil OpenID Connect für die Authentifizierung gegen das Identity Management von UCS nutzt, war es notwendig, dass sich Anwender in Umgebungen mit mehreren Diensten zweimal einloggen. Mit Unterstützung des Teams von Kopano konnten wir eine Erweiterung der App „OpenID Connect IDP“ im App Center veröffentlichen, die die beiden Standards miteinander integriert und so ein einziger Authentifkations-Vorgang durch die Endanwender ausreichend ist.

Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.

How-To für Anbindung von WebUntis an UCS@school für Single Sign-on-Anmeldungen

Grafik: SSO mit UCS@school und webUntis
Viele Schulen unserer Schulträger-Kunden verwenden in der Schule die Lösungen Untis und WebUntis. Diese Software ist ein populäres Tool für die Bereitstellung von Stunden- und Vertretungsplänen und kann einfach per Single Sign-on an UCS@school angebunden werden. Da WebUntis häufig und intensiv genutzt wird, möchte ich Ihnen im Folgenden eine kurze und praktische Anleitung geben, wie Sie WebUntis an UCS@school anbinden und für die Nutzer*innen per Single Sign-on zugänglich machen.

Jitsi Meet und das UCS Identity Management

Die gestiegene Nachfrage nach Videokonferenzlösungen hat auch uns im App Center Team in den letzten Wochen mit der Frage beschäftigt, wie wir seitens Univention Firmen, Organisationen und Schulträger helfen können, effektiv digital zu kommunizieren, ohne Aspekte des Datenschutzes außen vor zu lassen. Daher haben wir uns intensiv mit diversen Open-Source-Lösungen für Video Conferencing beschäftigt und in kurzer Zeit Jitsi Meet als App im App Center veröffentlicht und UCS Nutzern zur einfachen Installation bereitgestellt.
Jitsi ist eine vollständig verschlüsselte und zu 100% Open-Source-Videokonferenzlösung. Die Anbindung an den UCS-Verzeichnisdienst via LDAP ist bereits konfiguriert, so dass Administratoren einer UCS-Umgebung zentral über die Univention Management Console (UMC) Nutzer und Nutzerinnenn den Zugriff auf Jitsi mit ihrem gewohnten Benutzernamen und Passwort geben können. Über das UCS-Portal kann Jitsi anschließend einfach aufgerufen werden. In diesem Blogbeitrag möchte ich Ihnen kurz die wichtigsten Installationsschritte zeigen und dann das Hauptaugenmerk auf die unterschiedlichen Anwendungsfälle hinsichtlich der Nutzerauthentifizierung legen. Denn Organisationen können mit Jitsi Meet auf Univention Corporate Server (UCS) gezielt steuern, wie offen sie den Zugang gestalten und welche Benutzer Videokonferenzen abhalten können.

Benutzer registrieren sich selbst – neuer Self Service für SUSE und UCS

In diesem Artikel möchte ich Ihnen über unser Projekt Selbstregistrierung von Nutzern über UCS Self Services berichten, das wir aktuell für die SUSE Software Solutions Germany GmbH und u. a. deren Bugzilla und openSUSE Build Service (OBS) implementiert haben. Auf letzterer Webplattform wird die openSUSE-Distribution entwickelt. Gleichzeitig wird diese auch genutzt, um unter anderem Pakete für die Linux-Distributionen Fedora, Debian GNU/Linux, Ubuntu und natürlich SUSE Linux Enterprise zu bauen. Der OBS beherbergt rund 26.000 Projekte, ca. 190.000 Pakete in 36.000 Repositorys. Etwa 33.000 Entwickler nutzen den Dienst und haben dort einen Account.

Praktische Anwendung der REST API am Beispiel von EGroupware

Der Univention Directory Manager (UDM) ermöglicht den Zugriff auf die Inhalte im LDAP-Verzeichnisdienst, also z. B. das Betrachten, Verändern, Löschen und Verschieben von Objekten (Benutzer, Gruppen, Rechner, Drucker, Freigaben usw.). Der UDM lässt sich nicht nur über das Webinterface, sondern auch über die Kommandozeile steuern. Mit UCS 4.4-2 ist eine dritte Möglichkeit hinzugekommen: die REST API. Diese Schnittstelle verbindet Anwendungen per HTTPS mit dem UCS-Verzeichnisdienst und soll die Pflege von Benutzereigenschaften oder Rechnerobjekten der angebundenen Systeme erleichtern.
Dieser Artikel erklärt zunächst die technischen Hintergründe der REST API und die Implementierung in UCS.
Während der Implementierung der REST API fand ein reger Austausch mit den Entwicklern der EGroupware GmbH aus Kaiserslautern statt. Und so hat EGroupware als erste Lösung im Univention App Center die neue Schnittstelle eingesetzt. Im zweiten Teil des Artikels berichtet Ralf Becker von EGroupware von der Umstellung auf die neue API und erklärt, welche Vorteile diese für Hersteller von Drittanwendungen bereithält.

Lösungen für Teams zur Zusammenarbeit im Home Office bereit stellen

Viele Arbeitnehmer haben sich in den letzten Tagen und Wochen ins Home Office zurückgezogen, um Infektionsketten zu unterbrechen, andere planen dies zu tun oder würden es gerne. Aber nicht jedem stehen die nötige Tools zur Verfügung, um in möglichst vielen Bereichen weiter produktiv und zusammen mit Kollegen arbeiten zu können. Remote Arbeit und die Zusammenarbeit mehrerer aus dem Home Office stellen besondere Anforderungen an die Arbeitsweise im Team und an die Werkzeuge, mit denen gearbeitet wird.

Univention Corporate Server (UCS) bietet als offene Hyperintegration-Plattform und mit dem Univention App Center eine ganze Reihe unterschiedlicher Anwendungen, die ein effektives und kollaboratives Arbeiten aus dem Home Office ermöglichen. So befinden sich unter den über 90 Applikationen im App Center zum Beispiel Lösungen für Filesharing (Nextcloud, ownCloud oder Seafile), für Projektmanagement (OpenProject und die Kanban-Lösung Wekan), Videokonferenzen (Kopano Meet), Echzeit-Kommuniktaion (Rocket.Chat) oder Wissenstransfer (MediaWiki Bluespice). All die genannten Lösungen gibt es auch als auf UCS vorkonfigurierte virtuelle App Appliance, die Sie mit einem sehr überschaubaren Einsatz in Betrieb nehmen und Ihren Kollegen für das Home Office bereitstellen können.

Trennung von Nutzern in Office 365 durch Synchronisation mehrerer Azure Active Directories

Identitäten und Rollen in einer Microsoft Azure AD Umgebung können dank der Office 365 Connector App für UCS sehr einfach provisioniert werden. Nutzer erhalten dabei einen unkomplizierten Zugriff per Single-Sign-On auf Office 365 Ressourcen, während die Kontrolle über die Informationen, die über die jeweiligen Identitäten übermitteltet werden, gewährleistet bleibt.

In einer UCS Umgebung werden darüber hinaus oft genaue Berechtigungen definiert, die die Sichtbarkeit von Benutzereigenschaften innerhalb einer Organisation regeln – gerade in großen Umgebungen ist es notwendig, dass nicht jeder Nutzer jeden anderen „sieht“. Beispielsweise werden die Datenschutzanforderungen an Schulen durch UCS@school umgesetzt: Nutzerkonten können durch den Schulträger schulübergreifend zentral administriert werden, die Nutzer „sehen“ sich selbst aber nur innerhalb der eigenen Schule gegenseitig. In einem einzelnen Azure AD ist eine solche Trennung grundsätzlich nicht vorgesehen, sondern es wird der Aufbau von mehreren Azure AD oder Tenants erwartet.

In diesem Artikel möchte ich Ihnen erklären, wie Sie seit dem letzten Update der Office 365 Connector App solche getrennten Setups mit UCS für Azure AD einfacher umsetzen können und wie die Szenarien aufgebaut sind.