IT vom Berliner SchwuZ im „Geschwindigkeitsrausch“ durch synchronisierte Nutzerprofile

SchwuZ Keller

Ich möchte Ihnen heute ein paar spannende Updates über unser IT Projekt mit dem Berliner Kulturveranstaltungsunternehmen SchwuZ geben. Vielleicht erinnern Sie sich noch, dass wir für das SchwuZ letztes Jahr eine Zentralisierung ihrer IT-Inseln mit UCS umgesetzt haben, siehe bitpack.io modernisiert IT am Berliner SchwuZ mit Univention Corporate Server. Aber wie IT Projekte so sind, es besteht immer wieder Optimierungsbedarf.

Erfahren Sie in den nächsten Zeilen, wie wir mit der Einrichtung synchronisierter Linux- Nutzerprofile die Netzwerkgeschwindigkeit enorm verbessern konnten.

Zentrale Domänenverwaltung mit Samba und Active Directory

Graphic of a company's worldwide network
Lernen Sie in diesem Beitrag mit Samba und Microsoft Active Directory zwei Lösungen zur zentralen Erkennung und Autorisierung von Mitgliedern einer Domäne besser kennen. Beides Lösungen für die zentrale Verwaltung eines Domänennetzwerkes, die Ihnen helfen, einen sehr viel besseren Datenschutz und eine deutlich höhere Ausfallsicherheit Ihrer IT-Systeme zu erzielen.

In der aktuellen UCS Version ist Samba 4.7 integriert, das im Vergleich zu seinen Vorgängerversionen insbesondere eine deutliche Performancesteigerung im Bereich der LDAP-Abfragen sowie der Replikation speziell von Gruppenmitgliedschaften zeigt. Insbesondere für die Administration von besonders großen Umgebungen mit mehreren tausend, zehntausend oder mehr Authentifizierungskonten bringt Samba 4.7 Ihnen erhebliche Vorteile.

Ich möchte Ihnen außerdem erklären, wie Sie mit UCS eine Brücke zwischen der Linux- und der Windows-Welt schlagen und so die unterschiedlichen Vorteile, die beide Systeme bieten, voll ausnutzen können, statt sich zwischen einem der beiden entscheiden und damit beschränken zu müssen.

Kurz erklärt: Wie lassen sich UCS Systeme automatisch aktualisieren?

Wie jeder Betriebssystemhersteller veröffentlicht auch Univention meist wöchentliche Updates. Als Administrator möchte man diese natürlich zeitnah einspielen. In großen UCS Umgebungen mit vielen angebundenen Servern können manuelle Updates jedoch viel Zeit in Anspruch nehmen, die nicht jede Woche zur Verfügung steht. Um solch einen Arbeitsaufwand zu verringern, bietet es sich an, diese Aufgabe mithilfe von Richtlinien zu automatisieren.

Im Folgenden möchte ich Ihnen beschreiben, wie man eine automatisierte Aktualisierung von UCS Systemen durch Nutzung der Richtlinie Paketpflege einrichten kann.

UCS LDAP: Schema-Erweiterungen für neue Attribute und Objekttypen

Der LDAP Server in UCS wie auch das Active Directory auf einem Windows Server speichert die meisten Informationen über Ihre Domain, von Hardware Definitionen bis zu Nutzern, als strukturierte und klar definierte Objekte. Jedes Objekt gehört dabei einer Objektklasse an und besitzt bestimmte Attribute, die einer vorgegebenen Syntax folgen. Bekannte Attribute sind dabei z. B. der Nachname eines Benutzers oder sein Passwort. Ein bedeutender Bestandteil des LDAP ist das LDAP Schema, das dem Administrator eine klare Übersicht über alle Objekte liefert und bestimmt, wie die Objekte auszusehen haben und welche Attribute sie haben müssen.

Wenn Sie eine Objektklasse um ein neues Attribut erweitern oder eine ganz neue Objektklasse erstellen möchten, ist es daher zwingend notwendig, das Schema zu erweitern.

SAML Single Sign-on in die ownCloud App integrieren

Graphic about SAML integration for ownCloud

Wenn Sie verschiedene Online-Dienste benutzen müssen, was in der Regel der Fall ist, gibt es nichts Praktischeres als Single Sign-on (SSO) zu benutzen. SSO ermöglicht es, sich an allen verfügbaren Diensten einer Domäne mit nur einem Passwort anzumelden. UCS macht dies durch einen SAML Identity-Provider seit UCS 4.1 möglich.

Aus den folgenden Gründen entschieden wir uns für SAML als erste Single Sign-on Technologie in UCS: Die Technik ist bekannt im Unternehmensbereich, sie verfügt über einen hohen Grad an Sicherheit und wir haben in den Jahren zuvor positive Erfahrungen damit gemacht. Seitdem sind viele Dienste und Univention Apps mit einem SAML Service Provider ausgestattet. Nun arbeiten wir daran, diese in den UCS Identity Provider zu integrieren.

Damit Nutzer und Strukturen nicht zum Risiko werden: Zentrales IdM von Clouddiensten

Wenn Administratoren über eine Benutzerverwaltung (IdM) nachdenken, haben sie oft nur die traditionellen IT-Systeme im Blick. Aber auch in der Cloud, wo man mit wenigen Klicks neue Dienste kaufen kann, ist es immens wichtig, dass Firmen die Kontrolle über ihre Nutzer behalten, will man nicht die Kontrolle darüber verlieren, wer in der Organisation über welche Rechte und Zugriffe verfügt. Ganz schnell kann sonst aus einem unzufriedenen oder gekündigten Mitarbeiter eine echte Gefahr für die ganze Unternehmens-IT werden. Oder der Ausfall von Teilsystemen kann dazu führen, dass auf die komplette IT nicht mehr zugegriffen werden kann und alle Prozesse im Unternehmen stillstehen.

Schritt-für-Schritt-Anleitung für den Aufbau einer verteilten Serverumgebung als wirksamer Schutz gegen Ausfälle und Attacken

Die gehäuften Ausfälle bei den Amazon Web Services (AWS) und die Angriffe auf das globale DNS haben gleichermaßen gezeigt, wie gefährdet sogar so große und vermeintlich professionell abgesicherte Netzwerke sein können. Und sie haben die Notwendigkeit vor Augen geführt, sensible Netzwerke unbedingt über mehrere Standorte zu verteilen. Eine besondere Bedeutung hat eine solche Verteilung, wenn eine zentralisierte Benutzerauthentifizierung eingesetzt wird. Denn hier beträfe der Ausfall eines einzigen nur an einer Stelle betriebenen Services, die Accounts sämtlicher, im Falle von Amazon, Zigtausender Nutzer und deren Berechtigungen.

Deswegen möchte ich im Folgenden ein Möglichkeit aufzeigen, wie Sie Ihr Netzwerk, auch wenn dies vermutlich nicht ganz die Größenordnung von Amazon oder DNS hat, gegen technische Ausfälle oder kriminelle Attacken absichern.

Bring Licht in den „IT-Dschungel“ mit dem Domänencontroller

Image of a man with code in the background
Der professionelle Aufbau von Domänen und der Einsatz von Domänencontrollern bringt Ordnung in IT-Infrastrukturen. Dies ist besonders wichtig, wenn Organisationen schnell wachsen. So kann deren IT dynamisch mitwachsen. Andernfalls entwickelt sich die Infrastruktur zu einer Art „Flickenteppich“ vieler, kleiner Lösungen und unorganisierter Ressourcen, die dann zum Teil unabhängig voneinander agieren, sich möglicherweise gegenseitig behindern und somit einen hohen Wartungsaufwand bedeuten. Ganz zu schweigen von dem Aufwand der doppelten Benutzerpflege und den Risiken in Bezug auf Datenreplikation, Datenschutz und Ausfallsicherheit.

Im folgenden Beitrag verdeutlichen wir zuerst kurz, was überhaupt eine Domäne ist und beschreiben dann die Aufgaben eines Domänencontrollers. Abschließend gehen wir in die Praxis und schauen uns an, wie das Konzept „Domäne/Domänencontroller“ in Univention Corporate Server umgesetzt wurde.

Make an App: App Settings

Seit dem letzten Update verfügt das Univention App Center nun über die Neuerung „App Settings“. Sie ermöglichen eine einfache Konfiguration einer App aus der Univention Management Console heraus. Dieses neue Feature haben wir gebaut, damit App-Anbieter mit einfachen Mitteln die Integrationstiefe einer App in UCS verbessern und die Inbetriebnahme einer App deutlich vereinfachen können.

BYOD unter Univention Corporate Server: Ein Einführungsvideo

Zeit- und ortsunabhängiges Arbeiten wird in Schulen und Organisationen immer populärer. In diesem Beitrag und dem dazugehörigen Video „Einführung: BYOD unter Univention Corporate Server (UCS)“ möchten wir Ihnen deshalb einen ersten Einblick geben, wie UCS das Thema „Bring your own device“ (kurz BYOD) unterstützt.

Mit BYOD wird Menschen die Möglichkeit geboten, private Endgeräte wie Laptops, Smartphones oder Tablets in ihre Unternehmen oder Schulen mitzubringen, um dort mit ausgewählten Applikationen arbeiten zu können. So können Lernen und Arbeiten viel flexibler gestaltet werden. Außerdem bietet BYOD den Vorteil, die Anzahl zu verwendender technischer Geräte auf ein persönliches Endgerät zu beschränken.

Weitere Informationen zu BYOD, den Anforderungen und Voraussetzungen, finden Sie in unserem Artikel Kurz erklärt: Bring Your Own Device (BYOD).