How to integrate with LDAP – am Beispiel von Redmine

In diesem Blogartikel möchte ich Ihnen zeigen, wie das von UCS bereitgestellte LDAP erweitert werden kann und wie es mit anderen Diensten zusammenarbeitet.

Als erstes werde ich auf die typischen Konfigurationsoptionen von LDAP eingehen und zeigen, welche weiteren Informationen für eine erfolgreiche Benutzerauthentifizierung unter dem UCS LDAP benötigt werden. Wie sich das genaue Vorgehen gestaltet, werde ich an Hand der Projektmanagement Software Redmine erklären. Redmine ist eine Open Source Software, die plattformunabhängiges und webbasiertes Projektmanagement ermöglicht. Sie eignet sich besonders gut als Beispiel, da alle für die Konfigurationen typischen Informationen abgefragt werden.

Im zweiten Abschnitt werde ich auf nicht anonym durchsuchbare LDAPs und auf ihre Nutzungsmöglichkeiten eingehen .

Bitwarden: Open Source Passwortmanager

Logos von Bitwarden und UCS mit einem Schlüsselbund in der Mitte
Außer der Zwei-Faktor-Authentisierung (2FA) sind sichere Kennwörter immer noch der beste Schutz gegen Datendiebstahl. Wie Sie als Administrator*in einer UCS-Domäne mit sogenannten Passwort-Richtlinien Ihre Benutzer und Benutzerinnen zu einer Mindestlänge oder dem regelmäßigen Ändern des Kennworts verpflichten, haben wir bereits in dem Artikel „Sichere Passwörter für die UCS-Domäne“ beschrieben. In diesem Beitrag gehen wir einen Schritt weiter und stellen Ihnen nach einer kleinen Auffrischung zum Thema Passwortmanager im Allgemeinen eine konkrete Software-Lösung vor, die Ihnen eine komfortable Möglichkeit zum Speichern und Verwalten von Passwörtern bietet – damit keiner Ihrer Anwender*innen die Zugangsdaten irgendwo im Klartext notieren muss.

DNS: Eine Einführung mit Bezug zu Univention Corporate Server

Schematische Darstellung einer DNS-Anfrage
Dieser Artikel beschäftigt sich mit dem System der Domain Name System Server („DNS Server“) und beantwortet die Frage, wie das „Telefonbuch des Internets“ funktioniert. Neben den absolut grundlegenden Details der Namensauflösung im Internet kommen dabei auch Sonderthemen wie die Verwaltung von DNS-Einträgen in dynamischen Umgebungen und das Debugging von DNS-Setups im laufenden Betrieb zur Sprache. Den technischen Rahmen bildet der Univention Corporate Server – denn der hat nicht nur einen waschechten DNS-Server im Gepäck, sondern auch diverse Werkzeuge, die das Management von DNS-Einträgen erheblich erleichtern.

LDAP-Replikation: Server-Ausfälle verhindern und Performance verbessern

Server im Betrieb

Es ist ein altbekanntes Problem unter IT-Fachleuten: die einzelne Verwaltung von Benutzeraccounts für diverse Anwendungen und zugehörige Zugriffsrechte gestaltet sich schon mit wenigen Angestellten sehr zeitaufwändig. Ändern sich Zuständigkeiten oder kommen neue Mitarbeiter*innen hinzu, besteht die Gefahr, dass schnell Wildwuchs in der IT-Infrastruktur entsteht. Diese Prozedur ist nicht nur ein echter Zeitfresser; vielmehr leidet die Sicherheit auf Dauer immens darunter. Oftmals werden in der Konsequenz die Verwaltung der Benutzer und deren Berechtigungen vernachlässigt. Dieses Problem wächst parallel zur Größe des Unternehmens und kann irgendwann bedenkliche Ausmaße annehmen. Um wieder Herr der Lage zu werden, empfiehlt sich das Anlegen einer zentralen Benutzerverwaltung in Form eines Identity-Management-Systems.

Nicht selten stellt ein LDAP-Verzeichnisdienst, den wir übrigens auch in unserem Univention Corporate Server verwenden, den Kern eines Identity Management Systems dar. Die Abkürzung „LDAP“ steht für engl. Lightweight Directory Access Protocol. Wie dieser Name schon vermuten lässt, wird damit zunächst lediglich das Protokoll beschrieben. Allgemein sprechen wir aber gern von „dem LDAP“, obwohl wir eigentlich den LDAP-Verzeichnisdienst im Sinn haben.

LDAP: Last Logon Timestamp protokollieren

In relativ vielen UCS-Umgebungen haben die Systemverwalter noch keine konsistenten Prozesse zum Aufspüren, Deaktivieren oder Löschen ungenutzter Benutzerkonten entwickelt. So sammeln sich über die Jahre Accounts im LDAP-Verzeichnisdienst an, die schon lange nicht mehr genutzt werden. Wir bei Univention haben im Kundenauftrag eine neue UCS-Erweiterung entwickelt, die dabei hilft, solche ungenutzten Zugänge aufzuspüren. Das Lastbind-Overlay-Modul und ein neues Python-Skript ermitteln inaktive Konten auf LDAP-Servern, auch in großen Umgebungen mit mehreren LDAP-Instanzen und verteilten Systemrollen.

UCS Samba/AD: Trust mit nativen Microsoft Active Directory Domänen etablieren

Logos von UCS und Windows mit verbindenden Pfeilen

Eine Vertrauensstellung einzurichten bedeutet, Benutzern einer Domäne Zugriff auf die Ressourcen einer anderen zu geben. Dies kann in manchen Situationen den Handlungsspielraum erweitern. In dem nun beschriebenen Beispiel werde ich mich konkret auf das Zusammenspiel zwischen Samba in UCS und Microsoft Windows beziehen und dabei im Einzelnen erklären, wie eine sogenannte Vertrauensstellung dafür konfiguriert werden kann und wie der aktuelle Stand der Implementierung ist.

Reporting für Profis: Aktivitäten im UCS-LDAP-Verzeichnisdienst protokollieren

Viele Dienste und Prozesse, die in einer Domäne laufen, dokumentieren im Hintergrund vollautomatisch ihre Aktivitäten. In den Logfiles sind unter anderem Informationen zu den Anmeldungen der Benutzer*innen am System, zur Installation und Deinstallation von Software, Zugriffe auf Webseiten, Fehlermeldungen und andere Hinweise enthalten. Auch Univention Corporate Server (UCS) erstellt solche Berichte – entweder hinter den Kulissen in Form von Logfiles oder mit dem UCS Admin Diary. Fertige Reports als CSV- oder PDF-Datei erhalten Sie außerdem über die Univention Management Console oder die Shell.

In diesem Artikel möchte ich Ihnen zeigen, wie Sie mit dem Univention Directory Logger revisionssichere Logfiles des LDAP-Verzeichnisdienstes erzeugen, mit dem Admin Diary einen Gesamtüberblick der Ereignisse in einer UCS-Domäne erhalten und wie Sie mit Univention Directory Reports Daten aus dem Verzeichnisdienst auswerten.

How To: Videokonferenz-Lösung BigBlueButton für UCS konfigurieren und einfach nutzen

Schulträger und andere Bildungseinrichtungen stehen seit dem Frühjahr vor der Herausforderung, ihre Lehre ohne oder mit eingeschränktem Präsenzunterricht bzw. Präsenzveranstaltungen fortzuführen. Dieser Artikel stellt Ihnen das Web-Konferenz-System BigBlueButton vor, das eine mögliche Lösung für diese Herausforderung sein kann. Im ersten Teil des Artikels möchte ich Ihnen einen Überblick über die wichtigsten Funktionen von BigBlueButton geben und kurz darauf eingehen, worauf Sie beim Sizing der Server achten müssen und wie Sie mit Problemen durch NAT und Firewall der Nutzer*innen umgehen. Im zweiten Teil erkläre ich Ihnen, wie Sie Schritt für Schritt BigBlueButton so in Ihre UCS-Umgebung integrieren, dass die Nutzer*innen es mit Ihren gewohnten Anmeldedaten nutzen können.

Samba 4 und OpenLDAP: SURF setzt auf UCS

SURF ist eine Kooperative niederländischer Bildungs- und Forschungseinrichtungen. Unsere Organisation will unter anderem die Forschung mit HPC (High Performance Computing) fördern. Wir betreiben nationale Super-Computer-Cluster und stellen Rechenleistung, Datentransport, Datenmanagement und -analyse für die niederländische akademische Gemeinschaft bereit, z. B. für Universitäten, Fachhochschulen, berufsbildende höhere Schulen (MBO), UMCs und Forschungseinrichtungen.