Digitale Souveränität ist unverzichtbare Voraussetzung für Resilienz unserer IT-Systeme – Erste Lehren aus der Corona-Krise

Wir befinden uns im Übergang in eine „neue Normalität“, die gleichwohl anders aussehen wird, als die Normalität vor der Corona-Pandemie. Sukzessive werden Lebensbereiche hochgefahren, die sich bis vor kurzem in einer noch nie dagewesene Ausnahmesituation befanden. Das war mit vielen Belastungen verbunden, hat aber auch neue und wertvolle Erkenntnisse erbracht, wie wir unser Leben organisieren können. Der Stellenwert digitaler Kommunikationsmöglichkeiten ist enorm gestiegen, die Nutzung digitaler Technologien wurde enorm beschleunigt. Dabei wurde deutlich, dass es wichtig ist, Systeme zu haben, die unabhängig von einzelnen Anbietern oder gar von fremden Staaten funktionieren, die widerstandsfähig sind und mit denen schnell und effektiv auf eine Krise reagiert und wieder ein stabiler Zustand erreicht werden kann.

Zwei Standards aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect

Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login mit ihrem Benutzernamen und Passwort Zugriff auf unterschiedlichste Applikationen, die mit UCS integriert werden, zu geben.
Die beiden Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect stehen schon länger für die Authentifizierung von Nutzern an UCS zur Verfügung. Bisher hat es sich bei den beiden Technologien aber um voneinander getrennte Welten gehandelt. Wenn ein Teil der Web-Dienste SAML und ein anderer Teil OpenID Connect für die Authentifizierung gegen das Identity Management von UCS nutzt, war es notwendig, dass sich Anwender in Umgebungen mit mehreren Diensten zweimal einloggen. Mit Unterstützung des Teams von Kopano konnten wir eine Erweiterung der App „OpenID Connect IDP“ im App Center veröffentlichen, die die beiden Standards miteinander integriert und so ein einziger Authentifkations-Vorgang durch die Endanwender ausreichend ist.

Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.

Passwort-Hashes zwischen MS Active Directory und UCS-Domäne abgleichen

Schaubild: UCS Kerberos-Hashes

Mit der Version 4.4-4 von Univention Corporate Server (UCS) ist das Synchronisieren von Passwort-Hashes zwischen einer Microsoft Active Directory Domäne und einer UCS-Domäne deutlich sicherer und vor allem weniger fehleranfällig geworden. Während frühere Versionen des AD Connector lediglich NTLM-Hashes abgleichen konnten, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die so genannten Kerberos Hashes (auch Kerberos Keys genannt), mit denen ein Single-Sign-on an unterschiedlichen Anwendungen möglich ist.

UCS: LDAP-Replikation leicht gemacht

Das Herzstück eines Identity Management-Systems ist ein Verzeichnisdienst, der an einer zentralen Stelle Benutzerdaten verwaltet und Applikationen zur Verfügung stellt. Beim Univention Corporate Server (UCS) übernimmt OpenLDAP diese Aufgabe. Da bei einem Ausfall des LDAP-Verzeichnisdienstes die Nutzung vieler angeschlossenen Systeme nicht mehr ohne Weiteres möglich ist, zeigen wir in diesem Beitrag, wie Sie Ihre UCS-Domäne auf eine solche Störung vorbereiten. Das Zauberwort heißt LDAP-Replikation – wenn die LDAP-Datenbank auf mehr als einem Server verfügbar ist, erhöht das nicht nur die Ausfallsicherheit, sondern verbessert auch die Performance.

Der Digitalpakt – Ein Appell für zügige Umsetzung von Maßnahmen

Der Digitalpakt – Ein Appell für zügige Umsetzung von Maßnahmen

Natürlich ist Demokratie kein Dauersprint im höchsten Tempo. Angesichts der rasanten Entwicklung in anderen Ländern kann es sich Deutschland aber schlicht nicht leisten, die Digitalisierung der Bildung noch länger zu verzögern. Daher ist es großartig, dass nun endlich die Hürden beseitigt werden, um umfassend in die Digitalisierung des Bildungswesens zu investieren.

Praktische Feature-Checkliste für eine systematische Bewertung neuer Software für Ihr Unternehmen

Graphic of check marks

Das Univention App Center bietet Ihnen eine große Auswahl an Software-Lösungen an – die für Sie passende zu finden, ist jedoch nicht immer einfach.

In diesem Blogartikel zeige ich Ihnen ein Verfahren zur Software-Bewertung, mit dem Sie die optimale Lösung für Ihr Unternehmen finden können und erkläre die Aspekte von Software, die Sie besonders untersuchen sollten.

20 Jahre OpenLDAP: Wir bleiben treu!

Happy Birthday Karte
In diesem Monat kann das OpenLDAP Projekt seinen zwanzigsten Geburtstag feiern. Es wurde 1998 von Kurt Zeilenga und anderen ins Leben gerufen, um diverse Patches zu konsolidieren, die auf Mailinglisten und Newsgroups Verbreitung gefunden hatten, um den originalen Standalone LDAP Server Code (slapd) der University of Michigan zu verbessern. Nach Kurt Zeilenga übernahm Howard Chu die Position des “Chief Architect”. Die OpenLDAP Projektleitung ist traditionell stark der Unix-Philosophie “one job – one tool” verbunden. Unter Kurt Zeilengas Ägide wurde die Weiterentwicklung von OpenLDAP daher als Referenzimplementierung des “Lightweight Directory Access Protocol” (LDAP) primär klassisch mit Internet Drafts und RFCs vorangetrieben. Dieser Fokus auf Offenheit und Interoperabilität hat das Projekt zu einer wichtigen Landmarke in der Landschaft der Internet Dienste werden lassen und alle wichtigen Enterprise Linux Distributionen boten folglich OpenLDAP als supporteten Produktbestandteil.

Diskutieren Sie mit – Wo hakte die Förderung des Breitbandausbaus für Schulen?

Computer graphic of cables

Dass die Förderung des Breitbandausbaus in den vergangenen Jahren deutschlandweit, besonders an den Schulen, nur schleppend vorwärts ging, wird gerade ausführlich diskutiert. So gab es gleich zwei kleine Anfragen von Bundestagsabgeordneten zu dem Thema:

Laut Antwort der Bundesregierung auf diese Anfragen ist bisher von den 4,4 Milliarden des 2015 aufgelegten Breitbandförderprogramms des Bundes erst ein Bruchteil ausgezahlt worden.

Data Ethics & Digital Selfdefense

Mit einer Fake-Identität Facebook austricksen, Geld fürs Joggen bekommen und via VPN ein und dasselbe Hotelzimmer billiger buchen – in ihrem Vortrag „Data Ethics & Digital Selfdefense“ zeigten die Autorin Pernille Tranberg und der Journalist Steffan Heuer auf dem diesjährigen Univention Summit, wie groß unser digitaler Fußabdruck tatsächlich ist und welche Informationen wir über uns bewusst und unbewusst im Internet veröffentlichen.

Ein offener „ID-Vermittlungsdienst“: Der Schlüssel zur effizienten und sicheren Digitalisierung von Schulen in Deutschland

Schul-IT morgen: mit einem zentralen ID-Vermittlungsdienst für Bildungsangebote
Seit vielen Jahren unterstützt Univention Schulträger aus fast allen Bundesländern, Landesinstitute, Medienzentralen und Kultusministerien dabei, moderne und zentral verwaltbare IT-Infrastrukturen für Schulen bereitzustellen. Dabei haben wir die Erfahrung gemacht, dass der Bereich Identitätsmanagement eine immer größere Rolle spielt. Denn nur damit lassen sich die wichtigen Themen für die Digitalisierung unseres Bildungssystems angehen. Dazu gehören der sichere Zugang in Schulnetze genauso wie die Einbindung von mobilen Endgeräten von Lehrkräften und Schülerinnen und Schülern, egal ob in Form von „Bring your own device“ (BYOD) oder „Get your own device“ (GYOD) Konzepten oder der Zugriff auf zentrale Datenablagen. Vor allem aber spielt das Identitätsmanagement eine entscheidende Rolle, wenn es um die Integration von Inhalten und Diensten Dritter geht, also Angeboten von Schulbuchverlagen, Open Educational Resources, eLearning-Anwendungen oder Clouddiensten.