Ubuntu- und Linux-Mint-Clients in UCS-Domänen einbinden: neue Version des Univention Domain Join Assistant

Der Domain Join Assistant für Univention Corporate Server (UCS) bindet Ubuntu- und viele auf Ubuntu basierende Systeme wie Linux-Mint-Clients automatisch in eine UCS-Domäne ein, sodass die händische Konfiguration für Administratoren entfällt. Benutzer*innen können sich anschließend mit ihren UCS-Zugangsdaten am Ubuntu-Desktop anmelden – und zwar an beliebigen Clients in der Domäne.
Das Werkzeug bietet eine grafische Schnittstelle und ein eigenes Kommandozeilentool für die Steuerung auf der Konsole oder im Terminal. Wir haben gerade eine neue Version des Domain Join Assistant veröffentlicht, die aktuelle Ubuntu- und Linux-Mint-Versionen unterstützt und neue Features und Funktionen sowie Verbesserungen unter der Haube enthält. In diesem Artikel möchte ich kurz erklären, wie das Tool arbeitet und die wichtigsten Neuerungen vorstellen.

How To: Videokonferenz-Lösung BigBlueButton für UCS konfigurieren und einfach nutzen

Schulträger und andere Bildungseinrichtungen stehen seit dem Frühjahr vor der Herausforderung, ihre Lehre ohne oder mit eingeschränktem Präsenzunterricht bzw. Präsenzveranstaltungen fortzuführen. Dieser Artikel stellt Ihnen das Web-Konferenz-System BigBlueButton vor, das eine mögliche Lösung für diese Herausforderung sein kann. Im ersten Teil des Artikels möchte ich Ihnen einen Überblick über die wichtigsten Funktionen von BigBlueButton geben und kurz darauf eingehen, worauf Sie beim Sizing der Server achten müssen und wie Sie mit Problemen durch NAT und Firewall der Nutzer*innen umgehen. Im zweiten Teil erkläre ich Ihnen, wie Sie Schritt für Schritt BigBlueButton so in Ihre UCS-Umgebung integrieren, dass die Nutzer*innen es mit Ihren gewohnten Anmeldedaten nutzen können.

Samba 4 und OpenLDAP: SURF setzt auf UCS

SURF ist eine Kooperative niederländischer Bildungs- und Forschungseinrichtungen. Unsere Organisation will unter anderem die Forschung mit HPC (High Performance Computing) fördern. Wir betreiben nationale Super-Computer-Cluster und stellen Rechenleistung, Datentransport, Datenmanagement und -analyse für die niederländische akademische Gemeinschaft bereit, z. B. für Universitäten, Fachhochschulen, berufsbildende höhere Schulen (MBO), UMCs und Forschungseinrichtungen.

Einheitliche Landes-IT-Infrastruktur für Entlastung von Schulträgern

UCS@school ID Connector & Kelvin REST API

Viele unserer Kunden aus den Bildungsverwaltungen der Länder möchten gerne die IT-Infrastruktur vereinheitlichen, Sachaufwandsträger bzw. Schulträger entlasten und Schulen pädagogische Freiheiten ermöglichen, um eigene Konzepte umzusetzen.
Genau dies unterstützen wir mit UCS@school und heute möchte ich Ihnen eine Neuentwicklung vorstellen, die die Möglichkeiten von UCS@school dafür weiter ausbaut.

Mit (selbsterstellten und signierten) Zertifikaten Kommunikationsprozesse in UCS absichern

Zertifikate – warum und wozu

In diesem Artikel möchte ich Ihnen einen Einblick in das Thema „Absicherung des internetbasierten Austausches von Informationen durch Zertifikate“ geben. Dazu werfe ich einen kurzen Blick zurück auf die Anfänge des Internets und die Verwendung von Protokollen wie HTTP, SMTP, POP… und deren verschlüsselten Transport über SSL bzw. TLS. Vor allem möchte ich Ihnen aber erklären, wie Sie mit Univention Corporate Server öffentliche Zertifikate für die Absicherung Ihrer Datenübertragung nutzen können oder aber auch mit dem Tool Let‘s Encrypt selber vertrauenswürdige Zertifikate dafür erstellen können. Ganz sicher und auch noch kostenfrei.

Anpassungen in Ihrer UCS@School-Umgebung zum Schuljahreswechsel

Ein Schuljahreswechsel ist für viele Beteiligte in den Schulen und auch bei den Schulträgern ein sehr aufwendiger Prozess – zum neuen Schuljahr verlassen viele Schüler*innen eine Schule und ein neuer Jahrgang kommt hinzu. Dementsprechend viele Benutzerkonten für die Schüler*innen müssen gelöscht und ganz neue Konten müssen angelegt werden. Gleichzeitig wechseln die allermeisten Schüler*innen die Klassenstufe und benötigen neue Gruppenzugehörigkeiten und Berechtigungen. Um diese Aufwände für die beteiligten IT-Administratoren und das Verwaltungspersonal in den Schulen so gering wie möglich zu halten, versuchen wir, in UCS@school die dafür nötigen Prozesse so einfach wie möglich zu halten. Im folgenden möchte ich kurz darstellen, welche Möglichkeiten es gibt und zwei Varianten vorstellen, die beide ihre Vor- und Nachteile haben:

Release UCS 4.4-5 bringt Verbesserungen beim Single Sign-on, den Self Services, mehr Performance beim LDAP und Kompatibilität zu Python 3

Das Release von Version 4.4-5 von Univention Corporate Server (UCS) bringt eine Reihe technischer Neuerungen für das Single Sign-on von Benutzer*innen an auf UCS angebundene Applikationen. Ebenfalls neue Funktionen gibt es beim UCS Self Service. Nutzer*innen können sich über den User Self Service nun auch selbst an einer UCS-Domäne registrieren und ein Benutzerkonto anlegen, einen Benutzernamen und Passwort vergeben und weitere Informationen hinterlegen. Performance Verbesserungen im LDAP-Verzeichnisdienst haben dazu geführt, dass die Replikation von Gruppen beschleunigt wurde. Und als Vorbereitung für UCS 5.0, das Ende dieses Jahres veröffentlicht werden soll, hat unsere Entwicklungsabteilung in über 45 Paketen von UCS die Kompatibilität auf Python 3 hergestellt, sodass beim Upgrade auf UCS 5.0 die entsprechenden Codeteile in UCS sowohl für Python 2 als auch Python 3 ausgeführt werden. Außerdem haben wir ein Preview auf das neue Portal von UCS 5.0 als App im App Center für Tester veröffentlicht, das bereits wichtige technische, neue Funktionalitäten wie die Einbettung von Apps direkt in die Portalseite mitbringt.

Single-Sign-on-Anmeldung für Applikationen auch für Gruppen anlegen

SSO mit SAML für UCS-Gruppen
Seit der Einführung der Unterstützung für Single Sign-on via Secure Authentication Markup Language (SAML) in Univention Corporate Server (UCS) kann ein Administrator am Benutzerobjekt hinterlegen, an welchen Anwendungen, im SAML Kontext Service Provider genannt, sich ein Benutzer via Single Sign-on anmelden darf. Für Administratoren in Organisationen mit vielen Benutzern kann diese Zuweisung aufwendig sein.

Digitale Souveränität ist unverzichtbare Voraussetzung für Resilienz unserer IT-Systeme – Erste Lehren aus der Corona-Krise

Wir befinden uns im Übergang in eine „neue Normalität“, die gleichwohl anders aussehen wird als die Normalität vor der Corona-Pandemie. Sukzessive werden Lebensbereiche hochgefahren, die sich bis vor Kurzem in einer noch nie dagewesenen Ausnahmesituation befanden. Das war mit vielen Belastungen verbunden, hat aber auch neue und wertvolle Erkenntnisse erbracht, wie wir unser Leben organisieren können. Der Stellenwert digitaler Kommunikationsmöglichkeiten ist enorm gestiegen, die Nutzung digitaler Technologien wurde enorm beschleunigt. Dabei wurde deutlich, dass es wichtig ist, Systeme zu haben, die unabhängig von einzelnen Anbietern oder gar von fremden Staaten funktionieren, die widerstandsfähig sind und mit denen schnell und effektiv auf eine Krise reagiert und wieder ein stabiler Zustand erreicht werden kann.

Zwei Standards aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect

Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login mit ihrem Benutzernamen und Passwort Zugriff auf unterschiedlichste Applikationen, die mit UCS integriert werden, zu geben.
Die beiden Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect stehen schon länger für die Authentifizierung von Nutzern an UCS zur Verfügung. Bisher hat es sich bei den beiden Technologien aber um voneinander getrennte Welten gehandelt. Wenn ein Teil der Web-Dienste SAML und ein anderer Teil OpenID Connect für die Authentifizierung gegen das Identity Management von UCS nutzt, war es notwendig, dass sich Anwender in Umgebungen mit mehreren Diensten zweimal einloggen. Mit Unterstützung des Teams von Kopano konnten wir eine Erweiterung der App „OpenID Connect IDP“ im App Center veröffentlichen, die die beiden Standards miteinander integriert und so ein einziger Authentifkations-Vorgang durch die Endanwender ausreichend ist.

Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.